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Entwurf eines Gesetzes zur Regelung des Datenschutzaudits 
und zur Änderung datenschutzrechtlicher Vorschriften 


A. Problem und Ziel 

Den Aufwendungen von Unternehmen für einen über das gesetzlich vorge- 
schriebene Datenschutzniveau hinausgehenden Datenschutz soll ein adäquater 
wirtschaftlicher Mehrwert gegenüberstehen. Ein freiwilliges, gesetzlich gere- 
geltes Datenschutzaudit mit der Vergabe eines Datenschutzauditsiegels verbin- 
det Förderung des Datenschutzes und Wirtschaftsforderung miteinander. Zu- 
gleich soll die Ankündigung eines Datenschutzauditgesetzes in § 9a Satz 2 des 
Bundesdatenschutzgesetzes erfüllt werden. 

In der jüngeren Vergangenheit sind zunehmend Fälle des rechtswidrigen Han- 
dels mit personenbezogenen Daten bekannt geworden. Die Herkunft der Daten 
ist größtenteils nicht nachvollziehbar. Der Erlaubnistatbestand des § 28 Absatz 3 
Satz 1 Nummer 3 des Bundesdatenschutzgesetzes hat sich dabei für die Herstel- 
lung der notwendigen Transparenz als besonders nachteilig erwiesen. Danach 
dürfen bestimmte personenbezogene Daten, wenn sie listenmäßig oder sonst zu- 
sammengefasst sind, für Zwecke der Werbung oder der Markt- oder Meinungs- 
forschung ohne Einwilligung der Betroffenen übermittelt oder genutzt werden. 
Die praktische Anwendung dieser Vorschrift hat dazu geführt, dass personenbe- 
zogene Daten weitläufig zum Erwerb oder zur Nutzung angeboten werden, ohne 
in jedem Fall die in der Vorschrift angelegten Anforderungen zu beachten. Zu- 
dem hat sich das Verhältnis der Bürgerinnen und Bürger zu Werbung, Markt- 
und Meinungsforschung seit dem Bestehen der Vorschrift gewandelt: Die Be- 
troffenen möchten über die Verwendung personenbezogener Daten für diese 
Zwecke selbst entscheiden können. 


B. Lösung 

Unternehmen wird die Möglichkeit eröffnet, sich freiwillig einem gesetzlich 
geregelten unbürokratischen Datenschutzaudit zu unterziehen und Datenschutz- 
konzepte und technische Einrichtungen mit einem Datenschutzsiegel zu kenn- 
zeichnen. Dabei kontrollieren zugelassene Kontrollstellen in regelmäßigen Ab- 
ständen, ob die gekennzeichneten Konzepte und Einrichtungen von einem mit 
Experten aus Wirtschaft und Verwaltung besetzten Ausschuss erlassene Richtli- 
nien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. Un- 
ternehmen, die sich dem Kontrollverfahren unterwerfen, dürfen im Rechts- und 
Geschäftsverkehr ein Datenschutzauditsiegel verwenden und hiermit werben. 

Die Erlaubnis zur Verwendung personenbezogener Daten zum Zwecke der Wer- 
bung, Markt- und Meinungsforschung ohne Einwilligung der Betroffenen wird 
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beschränkt auf Werbung für eigene Angebote oder die eigene Markt- oder Mei- 
nungsforschung der Stellen, die im Rahmen einer Vertragsbeziehung mit dem 
Betroffenen Daten über ihn erhalten haben, sowie bestimmter Empfänger steu- 
erbegünstigter Spendenwerbung. Die Verwendung personenbezogener Daten 
für Zwecke des Adresshandels sowie für fremde Werbezwecke oder Markt- oder 
Meinungsforschung soll nur mit Einwilligung der Betroffenen möglich sein. Zu- 
dem sollen marktbeherrschende Unternehmen die Einwilligung nicht durch 
Kopplung mit dem Vertragsschluss erzwingen dürfen. 


C. Alternativen 

Keine 


D. Finanzielle Auswirkungen auf die öffentlichen Haushalte 

1 . Haushaltsausgaben ohne Vollzugsaufwand 
Keine 

2. Vollzugsaufwand 

Das Gesetz bewirkt Vollzugsaufwand bei den Ländern und in einem Teilbereich 
beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im 
Rahmen der Durchführung des Gesetzes und der Überwachung der zugelasse- 
nen Kontrollstellen. Die Kosten für die einzelnen Auditverfahren können durch 
Kostenordnungen auf die Antragsteller abgewälzt werden. Weiterer Voll- 
zugsaufwand entsteht beim Bundesbeauftragten für den Datenschutz und die In- 
formationsfreiheit durch die Zulassung der Kontrollstellen und ggf. die Entzie- 
hung der Zulassung sowie das Führen eines Verzeichnisses der Kontrollstellen 
und der in das Kontrollsystem einbezogenen Datenschutzkonzepte und tech- 
nischen Einrichtungen. Ferner entsteht Völlzugsaufwand durch die Bildung 
eines Datenschutzauditausschusses mit Vertretern aus Bund, Ländern und der 
Wirtschaft nebst Geschäftsstelle beim Bundesbeauftragten für den Datenschutz 
und die Informationsfreiheit. Hierfür köimen in Abhängigkeit von der Zahl der 
Kontrollstellen bis zu 15 zusätzliche Stellen sowie jährlich Haushaltsmittel in 
Höhe von rd. 1,2 Mio. Euro für Personal- und Sachausgaben benötigt werden. 
Über die Ausbringung und Finanzierung dieser Personal- und Sachausgaben ist 
im Haushaltsaufstellungsverfahren 2010 zu entscheiden. 


E. Sonstige Kosten 

Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Übergangsvor- 
schrift künftig Einwilligungen der Betroffenen einzuholen sind, um deren per- 
sonenbezogene Daten für nicht ausschließlich eigene Zwecke der Werbung oder 
der Markt- oder Meinungsforschung zu verarbeiten und zu nutzen. Ferner kön- 
nen Kosten für die Wirtschaft entstehen, soweit diese künftig verpflichtet ist, bei 
unrechtmäßiger Kenntniserlangung bestimmter Daten durch Dritte die Auf- 
sichtsbehörden und Betroffenen zu benachrichtigen. 

Im Rahmen des Datenschutzauditgesetzes köimen Kosten für die Wirtschaft 
nach Maßgabe von ggf. von den Ländern und dem Bund zu erlassenden Kosten- 
ordnungen entstehen, durch die die Kosten für die einzelnen Auditverfahren auf 
die Unternehmen abgewälzt werden können. Da ein Datenschutzaudit freiwillig 
ist, können es die Unternehmen von einer Wirtschaftlichkeitsbetrachtung abhän- 
gig machen, ob sie sich einem Audit mit der damit einhergehenden Kostenfolge 
unterziehen. 
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F. Bürokratiekosten 

Für die Wirtschaft werden 15 Informationspflichten neu eingeführt und eine 
Informationspflicht geändert. Es wird keine Informationspflicht abgeschafft. Die 
Summe der zu erwartenden Belastungen für die Wirtschaft beträgt 10,14 Mio. 
Euro. 

Für die Bürgeriimen und Bürger wird keine Informationspflicht neu eingeführt, 
geändert oder abgeschafift. 

Für die Verwaltung werden zwölf Informationspflichten neu eingeführt und 
keine Informationspflicht geändert oder abgeschafift. 
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Bundesrepublik Deutschland 
DIE Bundeskanzlerin 


Berlin, 



Februar 2009 


An den 

Präsidenten des 
Deutschen Bundestages 
Herrn Dr. Norbert Lammert 
Platz der Republik 1 
11011 Berlin 


Sehr geehrter Herr Präsident, 

hiermit übersende ich den von der Bundesregierung beschlossenen 

Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und 
zur Änderung datenschutzrechtlicher Vorschriften 

mit Begründung und Vorblatt (Anlage 1). 

Ich bitte, die Beschlussfassung des Deutschen Bundestages herbeizuführen. 
Federführend ist das Bundesministerium des Innern. 

Die Stellungnahme des Nationalen Normenkontrollrates gemäß § 6 Abs. 1 NKRG ist 
als Anlage 2 beigefügt. 

Der Bundesrat hat in seiner 854. Sitzung am 13. Februar 2009 gemäß Artikel 76 
Absatz 2 des Grundgesetzes beschlossen, zu dem Gesetzentwurf wie aus 
Anlage 3 ersichtlich Stellung zu nehmen. 

Die Auffassung der Bundesregierung zu der Stellungnahme des Bundesrates ist 
in der als Anlage 4 beigefügten Gegenäußerung dargelegt. 

Mit freundlichen Grüßen 
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Anlage 1 


Entwurf eines Gesetzes zur Regelung des Datenschutzaudits 
und zur Änderung datenschutzrechtlicher Vorschriften 

Vom ... 


Der Bundestag hat das folgende Gesetz beschlossen: 

Artikel 1 

Datensehutzauditgesetz 

(DSAG)* 

Inhaltsübersicht 

§ 1 Datenschutzaudit 

§ 2 Zuständigkeit 

§ 3 Kontrollen 

§ 4 Zulassung der Kontrollstelle und Entziehung der 
Zulassung 

§ 5 Anforderungen an das Personal der Kontrollstelle 
§ 6 Pflichten der Kontrollstelle 

§ 7 Pflichten der zuständigen Behörde 

§ 8 Überwachung 

§ 9 Datenschutzauditsiegel, Verzeichnisse 
§10 Gebühren und Auslagen 
§ 1 1 Datenschutzauditausschuss 
§ 12 Mitglieder des Datenschutzauditausschusses 

§13 Geschäftsordnung, Vorsitz und Beschlussfassung des 
Datenschutzauditausschusses 

§14 Geschäftsstelle des Datenschutzauditausschusses 

§15 Rechtsaufsicht 

§16 Verordnungsermächtigungen 

§17 Bußgeldvorschriften 

§ 1 8 Strafvorschriften 

§19 Einziehung 

§ 20 Übergangsvorschrift 

§ 1 

Datenschutzaudit 

Nach Maßgabe dieses Gesetzes können 

1 . verantwortliche Stellen ihr Datenschutzkonzept und 

2. Anbieter von Datenverarbeitungsanlagen und -Program- 
men (infomiationstechnischen Einrichtungen) die ange- 
botenen informationstechnischen Einrichtungen 


* Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen 
Parlaments und des Rates vom 22. Juni 1998 über ein Informations- 
Verfahren auf dem Gebiet der Normen und technischen Vorschriften 
und der Vorschriften für die Dienste der Informationsgesellschaft 
(ABI. L 204 vom 21.7. 1998, S. 37), die zuletzt durch die Richtlinie 
2006/96/EG vom 20. November 2006 (ABI. L 363 vom 20. 12. 2006, 
S. 81) geändert worden ist, sind beachtet worden. 


kontrollieren lassen, sofern sie nichtöffentliche Stellen im 
Sinne des § 2 Absatz 4 des Bundesdatenschutzgesetzes sind. 
Sie dürfen ihr Datenschutzkonzept oder eine angebotene 
informationstechnische Einrichtung mit einem Datenschutz- 
auditsiegel kennzeichnen, wenn 

1 . bei der Datenverarbeitung, für die das Datenschutzkon- 
zept oder die informationstechnische Einrichtung vorge- 
sehen ist, die Vorsehriften zum Schutz personenbezoge- 
ner Daten eingehalten werden, 

2. die für das Datenschutzkonzept oder die informati- 
onstechnische Eimichtung geltenden Richtlinien zur Ver- 
besserung des Datenschutzes und der Datensicherheit 
nach § 1 1 Absatz 1 erfüllt werden, 

3. als Anbieter mit Sitz im Inland die Vorschriften des Bun- 
desdatenschutzgesetzes über die organisatorische Stel- 
lung des Beauftragten für den Datenschutz eingehalten 
werden und 

4. dies nach § 3 kontrolliert wird. 

Nichtöffentliche Stellen im Sinne dieses Gesetzes sind auch 
die in § 27 Absatz 1 Satz 1 Nummer 2 des Bundesdaten- 
schutzgesetzes genannten Stellen. 

§2 

Zuständigkeit 

(1) Die Durchführung dieses Gesetzes und der auf Grund 
dieses Gesetzes erlassenen Rechtsverordnungen obliegt den 
nach Landesrecht zuständigen Behörden, soweit nachste- 
hend nichts anderes bestimmt ist. Soweit für die geschäfts- 
mäßige Erbringung von Post- oder Telekommunikations- 
diensten Daten zu natürlichen oder juristischen Personen 
erhoben, verarbeitet oder genutzt werden, ist zuständige Be- 
hörde der Bundesbeauftragte für den Datenschutz und die 
Informationsfreiheit (Bundesbeauftragter). 

(2) Der Bundesbeauftragte ist zuständig für die Zulassung 
der Kontrollstellen, die Entziehung der Zulassung und die 
Vergabe der Kennnummem an die Kontrollstellen. 

§3 

Kontrollen 

Vorbehaltlich einer Rechtsverordnung nach § 16 Absatz 1 
Satz 1 Nummer 1 oder § 1 6 Absatz 2 Satz 1 Nummer 1 wer- 
den die Kontrollen nach § 1 Satz 2 Nummer 4 von zugelas- 
senen Kontrollstellen durchgeführt, soweit die Aufgaben- 
wahrnehmung nicht mit der Durchführung eines Verwal- 
tungsverfahrens verbunden ist. Der Beauftragte für den 
Datenschutz nach § 4f Absatz 1 Satz 1 des Bundesdaten- 
schutzgesetzes ist in die Durchführung der Kontrollen einzu- 
beziehen. Art und Häufigkeit der Kontrollen richten sich 
nach dem Risiko des Auftretens von Verstößen gegen dieses 
Gesetz, die auf Grund dieses Gesetzes erlassenen Rechtsver- 
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Ordnungen oder die für das Datenschutzkonzept oder die in- 
formationstechnische Einrichtung geltenden Richtlinien zur 
Verbesserung des Datenschutzes und der Datensicherheit 
nach § 11 Absatz 1. Jede nichtöffentliche Stelle, die eine 
Anzeige nach § 9 Absatz 1 Satz 1 erstattet hat, wird, so- 
bald der ordnungsgemäße Geschäftsbetrieb der Kontroll- 
stelle es ermöglicht, erstmalig und sodann spätestens inner- 
halb von zwölf Monaten nach dieser Kontrolle erneut kon- 
trolliert. Danach wird die nichtöffentliche Stelle spätestens 
alle 1 8 Monate kontrolliert. 

§4 

Zulassung der Kontrollstelle und Entziehung 
der Zulassung 

( 1 ) Eine Kontrollstelle ist auf Antrag zuzulassen, wenn 

1 . ihr Leitungspersonal und die für Kontrollen verantwort- 
lichen Beschäftigten über die erforderliche Zuverlässig- 
keit, Unabhängigkeit und fachliche Eignung verfügen, 

2. die Kontrollstelle akkreditiert ist, 

3. die für die Zulassung erhobenen Gebühren entrichtet 
worden sind und 

4. die Kontrollstelle ihren Sitz oder eine Niederlassung im 
Bundesgebiet hat. 

Mit der Zulassung ist der Kontrollstelle eine Kennnummer 
zuzuteilen. 

(2) Die Zulassung wird für das gesamte Bundesgebiet er- 
teilt. Auf Antrag kann die Zulassung auf einzelne Länder be- 
schränkt werden. 

(3) Die Zulassung kann mit Befristungen, Bedingungen 
oder einem Vorbehalt des Widerrufs erlassen oder mit Aufla- 
gen verbunden werden, soweit die Funktionsfähigkeit des 
Kontrollsystems oder Belange des Datenschutzes hinsicht- 
lich der Voraussetzungen nach Absatz 1 Nummer 1 oder 
Nummer 2 dies erfordern. Unter denselben Voraussetzungen 
ist die nachträgliche Aufnahme und die Änderung von Auf- 
lagen zulässig. 

(4) Einer Kontrollstelle wird die Zulassung entzogen, 
wenn die Kontrollstelle 

1. den Anforderungen nach Absatz 1 Satz 1 Nummer 1, 
Nummer 2 oder Nummer 4 nicht mehr genügt, 

2. ihren Verpflichtungen nach diesem Gesetz, insbesondere 
nach § 6 oder § 8 Absatz 3, oder nach einer auf Grund 
dieses Gesetzes erlassenen Rechtsverordnung in schwer- 
wiegender Weise nicht nachkommt. 

§5 

Anforderungen an das Personal der Kontrollstelle 

(1) Über die erforderliche Zuverlässigkeit verfügt, wer 
auf Grund seiner persönlichen Eigenschaften, seines Verhal- 
tens und seiner Fähigkeiten die Gewähr für die ordnungsge- 
mäße Erfüllung der ihm obliegenden Aufgaben bietet. Für 
die Zuverlässigkeit bietet in der Regel keine Gewähr, wer 

1 . ausweislich eines Führungszeugnisses für Behörden nach 
§30 Absatz 5, §31 des Bundeszentralregistergesetzes 
wegen Verletzung der Vorschriften des Strafrechts über 
den persönlichen Lebens- und Geheimbereich, über 
Eigentums- und Vermögensdelikte, Urkundenfälschung 


oder Insolvenzstraftaten mit einer Strafe oder wegen 
Verletzung gewerbe- oder arbeitsschutzrechtlicher Vor- 
schriften mit einer Geldbuße in Höhe von mehr als fünf- 
hundert Euro belegt worden ist, 

2. wiederholt oder grob pflichtwidrig gegen dieses Gesetz, 
eine auf Grund dieses Gesetzes erlassene Rechtsverord- 
nung oder Vorschriften über den Schutz personenbezoge- 
ner Daten verstoßen hat oder wiederholt oder grob 
pflichtwidrig als Beauftragter für den Datenschutz seine 
Verpflichtungen verletzt hat, 

3. infolge strafgerichtlicher Verurteilung die Fähigkeit zur 
Bekleidung öffentlicher Ämter verloren hat, 

4. sich nicht in geordneten wirtschaftlichen Verhältnissen 
befindet, es sei denn, dass dadurch die Interessen der kon- 
trollierten nichtöffentliehen Stelle oder Dritter nicht ge- 
fährdet sind, oder 

5. aus gesundheitlichen Gründen nicht nur vorübergehend 
unfähig ist, die Kontrollen nach Maßgabe der nach § 16 
Absatz 3 Nummer 3 zu erlassenden Rechtsverordnung 
ordnungsgemäß durchzuführen. 

(2) Über die erforderliche Unabhängigkeit verfügt, wer 
bei der Übernahme, Vorbereitung und Durchführung der 
Kontrollen keiner persönlichen, wirtschaftlichen oder beruf- 
lichen Einflussnahme unterliegt, die geeignet ist, ein objek- 
tives Urteil zu beeinträchtigen. Für die Unabhängigkeit und 
Freiheit von Interessenkonfiikten bietet in der Regel keine 
Gewähr, wer 

1 . neben seiner Tätigkeit für die Kontrollstelle Inhaber oder 
Angestellter einer nichtöffentlichen Stelle ist, auf die sich 
seine Kontrolltätigkeit bezieht, 

2. als Leitungspersonal der Kontrollstelle eine Tätigkeit auf 
Grund eines Beamtenverhältnisses, Soldatenverhältnis- 
ses oder eines Anstellungsvertrages mit einer juristischen 
Person des öffentlichen Rechts, eine Tätigkeit auf Grund 
eines Richterverhältnisses, öffentlich-rechtlichen Dienst- 
verhältnisses als Wahlbeamter auf Zeit oder eines öffent- 
lich-rechtlichen Amtsverhältnisses ausübt, es sei denn, 
dass die übertragenen Aufgaben ehrenamtlich wahrge- 
nommen werden, 

3 . Weisungen auf Grund vertraglicher oder sonstiger Bezie- 
hungen bei der Tätigkeit für die Kontrollstelle auch dann 
zu befolgen hat, wenn sie zu Handlungen gegen seine 
Überzeugung verpflichten, 

4. organisatorisch, wirtschaftlich, kapitalmäßig oder perso- 
nell mit Dritten verflochten ist, wenn nicht deren Ein- 
flussnahme auf die Wahrnehmung der Aufgaben für die 
Kontrollstelle, insbesondere durch Satzung, Gesell- 
schaftsvertrag oder Anstellungsvertrag ausgeschlossen 
ist. 

(3) Über die erforderliche fachliche Eignung verfügt, wer 
auf Grund seiner Ausbildung, beruflichen Bildung und prak- 
tischen Erfahrung ziu ordnungsgemäßen Erfüllung der ihm 
obliegenden Aufgaben befähigt ist. Im Bereich Recht sind 
nachzuweisen: 

1. der Abschluss eines Studiums der Rechtswissenschaft 
oder eines Studiums auf einem anderen Gebiet mit 
rechtswissenschaftlichen Inhalten, die den Umfang eines 
durchschnittlichen Nebenfachstudiums der Rechtswis- 
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senschaft nicht unterschreiten, an einer deutschen Hoch- 
schule oder ein gleichwertiger ausländischer Abschluss 
sowie eine dreijährige berufliche Tätigkeit mit dem 
Schwerpunkt auf dem Gebiet des Datenschutzrechts oder 

2. eine Aus-, Fort- und Weiterbildung im Datenschutzrecht 
sowie eine mindestens funljährige berufliche Tätigkeit 
mit dem Schwerpunkt auf dem Gebiet des Datenschutz- 
rechts. 

Im Bereich Infonnationstechnik sind nachzuweisen: 

1 . der Abschluss eines Studiums der Informatik, der Wirt- 
schaftsinformatik oder eines Studiums auf einem anderen 
Gebiet mit informationstechnischen Inhalten, die den 
Umfang eines durchschnittlichen Nebenfachstudiums 
der Informatik nicht unterschreiten, an einer deutschen 
Hochschule oder ein gleichwertiger ausländischer Ab- 
schluss sowie eine dreijährige berufliche Tätigkeit mit 
dem Schwerpunkt auf dem Gebiet der Informationstech- 
nik oder 

2. eine Aus-, Fort- und Weiterbildung auf dem Gebiet der 
Informationstechnik sowie eine mindestens funljährige 
berufliche Tätigkeit mit dem Schwerpunkt auf dem Ge- 
biet der Informationstechnik. 

Die berufliche Tätigkeit darf zum Zeitpunkt des Tätigwer- 
dens für die Kontrollstelle nicht seit mehr als drei Jahren un- 
terbrochen sein. 

§6 

Pflichten der Kontrollstelle 

(1) Die Kontrollstelle hat ein Datenschutzkonzept oder 
eine informationstechnische Einrichtung gegen angemes- 
sene Vergütung in ihre Kontrollen einzubeziehen, soweit die 
nichtöffentliche Stelle die Einbeziehung verlangt und ihren 
Sitz oder eine Niederlassung in dem Land hat, in dem die 
Kontrollstelle zugelassen ist. Die zuständige Behörde kann 
auf Antrag der Kontrollstelle eine Ausnahme von der Ver- 
pflichtung nach Satz 1 zulassen, soweit 

1 . die Kontrollstelle wirksame Kontrollen nicht gewährleis- 
ten karm und 

2. die Durchführung der Kontrollen durch eine andere 
Kontrollstelle sichergestellt ist. 

(2) Die Kontrollstelle übermittelt der zuständigen Behör- 
den jährlich bis zum 31. Januar ein Verzeichnis der nicht- 
öffentlichen Stellen, die am 31. Dezember des Vorjahres 
ihrer Kontrolle unterstanden und legt bis zum 3 1 . März jedes 
Jahres einen Bericht über ihre Tätigkeit im Vorjahr vor. 

(3) Die Kontrollstellen erteilen einander die für eine ord- 
nungsgemäße Durchführung dieses Gesetzes notwendigen 
Auskünfte. Stellt eine Kontrollstelle bei ihrer Tätigkeit Ver- 
stöße gegen § 1 Satz 2 Nummer 1 bis 3 fest, unterrichtet sie 
unverzüglich die zuständige Behörde. Soweit eine Kontroll- 
stelle im Rahmen der von ihr durchgeführten Kontrollen Tat- 
sachen feststellt, die einen hinreichenden Verdacht auf Ver- 
stöße der in Satz 2 genannten Art begründen, der eine nicht 
von der Kontrollstelle kontrollierte nichtöffentliche Stelle 
betrifft, teilt die Kontrollstelle die Tatsachen unverzüglich 
der Kontrollstelle mit, deren Kontrolle die betroffene nicht- 
öffentliche Stelle untersteht. 


(4) Die Kontrollstelle unterrichtet die von ihr kontrollier- 
ten nichtöffentlichen Stellen, die nach Landesrecht für die 
Sitze oder Niederlassungen der nichtöffentlichen Stellen zu- 
ständigen Behörden sowie den Bundesbeauftragten, 

1. spätestens drei Monate vor der beabsichtigten Einstel- 
lung ihrer Tätigkeit, 

2. im Falle eines Antrags auf Eröffnung eines Insolvenzver- 
fahrens unverzüglich. 

Die Kontrollstelle darf, soweit insolvenzrechtliche Vorschrif- 
ten nicht entgegenstehen, ihre Tätigkeit erst einstellen, werm 
die Kontrolle der von ihr kontrollierten nichtöffentlichen 
Stellen durch eine andere Kontrollstelle sichergestellt ist. 

§7 

Pflichten der zuständigen Behörde 

(1) Die Kontrollstelle wird von der zuständigen Behörde 
des Landes, in dem die Kontrollstelle ihre Tätigkeit ausübt, 
überwacht, indem die zuständige Behörde bei Bedarf Über- 
prüfungen der Kontrollstelle veranlasst. Auf Ersuchen ertei- 
len die zuständigen Behörden einander die zur Überwachung 
der Kontrollstellen erforderlichen Auskünfte. Stellt die zu- 
ständige Behörde Tatsachen fest, die die Entziehung der Zu- 
lassung rechtfertigen oder die Aufnahme oder Änderung von 
Auflagen zur Zulassung erforderlich machen können, hat sie 

1. wenn der Ort der zu beanstandenden Kontrolltätigkeit 
und der Sitz oder die Niederlassung der Kontrollstelle in 
demselben Land liegen, beim Bundesbeauftragten unter 
Mitteilung dieser Tatsachen die Entziehung der Zulas- 
sung oder die Aufnahme oder Änderung von Auflagen 
anzuregen oder, 

2. wenn der Ort der zu beanstandenden Kontrolltätigkeit 
und der Sitz oder die Niederlassung der Kontrollstelle in 
verschiedenen Ländern liegen, der zuständigen Behörde 
des Landes, in dem der Sitz oder die Niederlassung der 
Kontrollstelle liegt, die Tatsachen mitzuteilen. 

Erhält die zuständige Behörde des Landes, in dem der Sitz 
oder die Niederlassung der Kontrollstelle liegt, Kenntnis von 
Tatsachen nach Satz 3 Nummer 2, regt sie beim Bundes- 
beauftragten unter Mitteilung dieser Tatsachen an, ein Ver- 
fahren zur Entziehung der Zulassung oder zur Aufnahme 
oder Änderung von Auflagen einzuleiten. Im Rahmen des 
§ 2 Absatz 1 Satz 2 wird die Tätigkeit einer Kontrollstelle 
nach Satz 1 durch den Bundesbeauftragten überwacht. 

(2) Im Falle des § 6 Absatz 3 Satz 2 kaim die zuständige 
Behörde anordnen, dass von dem Verstoß betroffene Daten- 
schutzkonzepte oder infonnationstechnische Einrichtungen 
nicht mit dem Datenschutzauditsiegel gekennzeichnet wer- 
den dürfen, wenn dies in einem angemessenen Verhältnis zur 
Bedeutung der Vorschrift, gegen die verstoßen wurde, sowie 
zu Art und Umständen des Verstoßes steht. Im Falle eines 
schwerwiegenden Verstoßes oder eines Verstoßes mit Lang- 
zeitwirkung kann die zuständige Behörde der nichtöffent- 
lichen Stelle die Kennzeichnung für einen bestimmten Zeit- 
raum untersagen. 

§8 

Überwachung 

(1) Die nichtöffentlichen Stellen und die Kontrollstellen 
haben den zuständigen Behörden auf Verlangen die zur 
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Durchführung der den zuständigen Behörden durch dieses 
Gesetz oder auf Grund dieses Gesetzes übertragenen Aufga- 
ben erforderlichen Auskünfte zu erteilen. 

(2) Die von der zuständigen Behörde beauftragten Perso- 
nen dürfen Betriebsgrundstücke sowie Geschäfts- oder Be- 
triebsräume der Auskunftspflichtigen während der Ge- 
schäfts- oder Betriebszeit betreten und dort Besichtigungen 
vornehmen und geschäftliche Unterlagen einsehen und prü- 
fen, soweit dies zur Durchführung ihrer Aufgaben erforder- 
lich ist. 

(3) Auskunftspflichtige haben die Maßnahmen nach 
Absatz 2 zu dulden, die zu besichtigenden Bereiche selbst 
oder durch andere so zu bezeichnen, dass die Besichtigung 
ordnungsgemäß vorgenommen werden kann, selbst oder 
durch andere die erforderliche Hilfe bei Besichtigungen zu 
leisten sowie die geschäftlichen Unterlagen zur Einsicht- 
nahme und Prüfung vorzulegen. 

(4) Auskunftspflichtige können die Auskunft auf solche 
Fragen verweigern, deren Beantwortung sie oder einen der in 
§ 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung be- 
zeichneten Angehörigen der Gefahr strafgerichtlicher Ver- 
folgung oder eines Verfahrens nach dem Gesetz über Ord- 
nungswidrigkeiten aussetzen würde. Auskunftspflichtige 
sind daraufhinzuweisen. 

(5) Die Absätze 1 bis 4 gelten entsprechend für die Kon- 
trollen der nichtöffentlichen Stellen durch die Kontrollstel- 
len. 

§9 

Datenschutzauditsiegcl, Verzeichnisse 

(1) Wer ein Datenschutzkonzept oder eine informations- 
technische Einrichtung mit dem Datenschutzauditsiegel 
kennzeichnen will, hat dies dem Bundesbeauftragten vor der 
erstmaligen Verwendung des Siegels anzuzeigen. Der Bun- 
desbeauftragte hat ein Verzeichnis der angezeigten Daten- 
schutzkonzepte sowie informationstechnischen Einrichtun- 
gen mit den Angaben nach Satz 3 zu führen und zum Zwecke 
der Information der zuständigen Behörden und der Betroffe- 
nen auf seiner Intemetseite sowie im elektronischen Bundes- 
anzeiger zu veröffentlichen. Das Verzeichnis muss folgende 
Angaben enthalten: 

1 . den Namen und die Anschrift oder die der nichtöffent- 
lichen Stelle durch die Kontrollstelle zugeordnete alpha- 
numerische Identifikationsnummer, 

2. den Namen und die Anschrift oder die Kermnummer der 
Kontrollstelle, 

3. das angezeigte Datenschutzkonzept sowie die informa- 
tionstechnische Einrichtung. 

Weitere Angaben darf das Verzeichnis nicht enthalten. 

(2) Der Bundesbeauftragte hat ein Verzeichnis der zuge- 
lassenen Kontrollstellen mit den Angaben nach Satz 2 zu 
führen und zum Zwecke der Information der zuständigen 
Behörden und der Betroffenen auf seiner Intemetseite sowie 
im elektronischen Bundesanzeiger zu veröffentlichen. Das 
Verzeichnis enthält die Namen, Anschriften und Kennnum- 
mem der zugelassenen Kontrollstellen. Weitere Angaben 
darf es nicht enthalten. 


§ 10 

Gebühren und Auslagen 

(1) Für Amtshandlungen nach § 2 Absatz 1 Satz 2 und 
Absatz 2 sowie § 9 Absatz 1 und 2 können zur Deckung des 
Verwaltungsaufwandes Gebühren und Auslagen erhoben 
werden. Das Bundesministerium des Innern wird ermächtigt, 
im Einvernehmen mit dem Bundesministerium der Finanzen 
durch Rechtsverordnung ohne Zustimmung des Bundesrates 
die gebührenpflichtigen Tatbestände, die Gebührensätze so- 
wie die Auslagenerstattung zu bestimmen und dabei feste 
Sätze oder Rahmensätze vorzusehen, ln der Rechtsverord- 
nung kann die Erstattung von Auslagen abweichend vom 
Verwaltungskostengesetz geregelt werden. 

(2) Für Amtshandlungen der zuständigen Behörden nach 
§ 7 Absatz 1 Satz 1 und Absatz 2 können Gebühren und 
Auslagen nach Maßgabe des Landesrechts erhoben werden. 

§ 11 

Datenschutzauditausschuss 

Beim Bundesbeauftragten wird ein Datenschutzauditaus- 
schuss gebildet. Er erlässt Richtlinien zur Verbesserung des 
Datenschutzes und der Datensicherheit, insbesondere durch 

1 . Transparenz der Datenerhebung, -Verarbeitung und -nut- 
zung, 

2. Datenvermeidung und Datensparsamkeit nach § 3a des 
Bundesdatenschutzgesetzes, 

3. die Stärkung der organisatorischen Stellung des Be- 
auftragten für den Datenschutz nach § 4f Absatz 1 Satz 1 
des Bundesdatenschutzgesetzes, 

4. technische und organisatorische Maßnahmen nach § 9 
des Bundesdatenschutzgesetzes. 

Der Bundesbeauftragte veröffentlicht die Richtlinien auf sei- 
ner Intemetseite und im elektronischen Bundesanzeiger. 

(2) Der Datenschutzauditausschuss unterrichtet die Öf- 
fentlichkeit jährlich in einem Bericht über seine Tätigkeit 
und Erfahmngen, insbesondere über Praktikabilität und er- 
forderliche Änderangen erlassener Richtlinien sowie den 
Bedarf für neue Richtlinien. 

§ 12 

Mitglieder des Datenschutzauditausschusses 

(1) Mitglieder des Datenschutzauditausschusses sind 

1 . zwei Vertreter der Verwaltung des Bundes, 

2. zwei Vertreter des Bundesamtes für Sicherheit in der In- 
formationstechnik, 

3. zwei Vertreter des Bundesbeauftragten, 

4. zwei Vertreter der Verwaltung der Länder, 

5. vier Vertreter von Aufsichtsbehörden der Länder für den 
Datenschutz im nichtöffentlichen Bereich, 

6. sechs Vertreter von Unternehmen oder ihren Verbänden. 

Sie unterliegen keinen Weisungen und sind ehrenamtlich tä- 
tig. Die §§83 und 84 des Verwaltungsverfahrensgesetzes 
sind anzuwenden. 

(2) Die Mitglieder des Datenschutzauditausschusses müs- 
sen über gründliche Fachkenntnisse und mindestens dreijäh- 
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rige praktische Erfahrungen auf dem Gebiet des Datenschut- 
zes verfugen. 

(3) Das Bundesministerium des Innern beruft die Mitglie- 
der des Datenschutzauditausschusses und für jedes Mitglied 
einen Stellvertreter für die Dauer von drei Jahren, die Mit- 
glieder nach Absatz 1 Satz 1 Nummer 3 bis 6 auf Vorschlag 
und jeweils im Einvernehmen mit dem Bundesbeauftragten, 
den für den Datenschutz zuständigen obersten Landesbehör- 
den, den Aufsichtsbehörden nach § 38 des Bundesdaten- 
schutzgesetzes sowie den Bundesdachverbänden der Wirt- 
schaft. 

(4) Zu Sitzungen ist ein Vertreter der Bundesnetzagentur 
mit beratender Stiinme hinzuzuziehen, soweit Gegenstand 
der Sitzung eine Richtlinie ist, die nichtöffentliche Stellen 
betrifft, die nach § 1 1 5 Absatz 4 Satz 1 des Telekommuni- 
kationsgesetzes oder § 42 Absatz 3 des Postgesetzes der 
Kontrolle des Bundesbeauftragten unterliegen. 

§ 13 

Geschäftsordnung, Vorsitz und Beschlussfassung 
des Datenschutzauditausschusses 

(1) Der Datenschutzauditausschuss gibt sich eine Ge- 
schäftsordnung, die der Genehmigung durch das Bundes- 
ministerium des Innern bedarf 

(2) Der Datenschutzauditausschuss wählt den Vorsitzen- 
den und zwei Stellvertreter aus seiner Mitte. Zu ihnen muss 
jeweils ein Vertreter der Unternehmen oder ihrer Organisa- 
tionen, der Aufsichtsbehörden für den Datenschutz und der 
Verwaltung gehören. 

(3) Der Datenschutzauditausschuss beschließt 

1 . in Angelegenheiten nach § 1 1 Absatz 1 Satz 2 mit der 

Mehrheit von zwei Dritteln der gesetzlichen Mitglieder 

und 

2. in Angelegenheiten der Geschäftsordnung mit der Mehr- 
heit der gesetzlichen Mitglieder. 

§ 14 

Geschäftsstelle des Datenschutzauditausschusses 

Der Datenschutzauditausschuss wird bei der Durchfüh- 
rung seiner Aufgaben durch eine Geschäftsstelle unterstützt, 
die den Weisungen des Vorsitzenden des Datenschutzaudit- 
ausschusses unterliegt. 

§ 15 

Rcchtsaufsicht 

(1) Der Datenschutzauditausschuss untersteht der Auf- 
sicht des Bundesministeriums des Iimem (Aufsichtsbehör- 
de). Die Aufsicht erstreckt sich nur auf die Rechtmäßigkeit 
der Ausschusstätigkeit, insbesondere darauf, dass die Aufga- 
be nach § 1 1 Absatz 1 Satz 2 erfüllt wird. 

(2) Die Aufsichtsbehörde kann an den Sitzungen des Da- 
tenschutzauditausschusses teilnehmen. Ihr ist auf Verlangen 
das Wort zu erteilen. Sie kann schriftliche Berichte und die 
Vorlage von Akten verlangen. 

(3) Beschlüsse nach § 11 Absatz 1 Satz 2 bedürfen der 
Genehmigung durch die Aufsichtsbehörde. Die Aufsichtsbe- 
hörde kann rechtswidrige Beschlüsse des Datenschutzaudit- 
ausschusses beanstanden und nach vorheriger Beanstandung 


aufheben. Wenn der Datenschutzauditausschuss Beschlüsse 
oder sonstige Handlungen unterlässt, die zur Erfüllung sei- 
ner gesetzlichen Aufgaben erforderlich sind, kann die Auf- 
sichtsbehörde anordnen, dass innerhalb einer bestimmten 
Frist die erforderlichen Maßnahmen getroffen werden. Die 
Aufsichtsbehörde hat die geforderten Handlungen im Ein- 
zelnen zu bezeichnen. Sie kann ihre Anordnung selbst 
durchführen oder von einem anderen durchführen lassen, 
wenn die Anordnung vom Datenschutzauditausschuss nicht 
befolgt worden ist. 

(4) Wenn die Aufsichtsmittel nach Absatz 3 nicht ausrei- 
chen, kann die Aufsichtsbehörde den Datenschutzauditaus- 
schuss auflösen. Sie hat nach Eintritt der Unanfechtbarkeit 
der Auflösungsanordnung unverzüglich neue Mitglieder ge- 
mäß § 12 Absatz 3 zu berufen. Sie braucht vorgeschlagene 
Personen nicht zu berücksichtigen, die dem aufgelösten Da- 
tenschutzauditausschuss angehört haben. 

§ 16 

Verordnungsermächtigungen 

(1) Die Landesregierungen werden ermächtigt, durch 
Rechtsverordnung 

1 . zugelassene Kontrollstellen mit Aufgaben nach § 2 Ab- 
satz 1 Satz 1, ausgenommen die Aufgabe nach § 4, zu be- 
leihen oder sie an der Erfüllung der Aufgaben zu beteili- 
gen, 

2. die Voraussetzungen und das Verfahren der Beleihung 
und der Beteiligung zu regeln. 

Die Landesregierungen können die Emiächtigung durch 
Rechtsverordnung ganz oder teilweise auf andere Behörden 
des Landes übertragen. 

(2) Die Bundesregierung wird ermächtigt, nach Anhörung 
des Bundesbeauftragten durch Rechtsverordnung ohne Zu- 
stimmung des Bundesrates 

1 . zugelassene Kontrollstellen mit Aufgaben nach § 2 
Absatz 1 Satz 2, ausgenommen die Aufgabe nach § 4, zu 
beleihen oder sie an der Erfüllung der Aufgaben zu betei- 
ligen, 

2. die Voraussetzungen und das Verfahren der Beleihung 
und der Beteiligung zu regeln. 

(3) Das Bundesministerium des Innern wird ermächtigt, 
durch Rechtsverordnung mit Zustimmung des Bundesrates 
nähere Regelungen zu treffen über 

1 . die Einzelheiten der Verwendung des Datenschutzaudit- 
siegels, um eine einheitliche Kennzeichnung und eindeu- 
tige Erkennbarkeit der Kermzeichnung der Datenschutz- 
konzepte und informationstechnischen Einrichtungen zu 
gewährleisten, 

2. die Voraussetzungen und das Verfahren der Zulassung 
nach § 4 Absatz 1 bis 3 sowie die Voraussetzungen und 
das Verfahren der Entziehung der Zulassung nach § 4 
Absatz 4, § 7 Absatz 1 Satz 3 und 4, 

3. die Mindestanforderungen an die Kontrollen und die im 
Rahmen der Kontrollen vorgesehenen Vorkehrungen, 

4. die Gestaltung des Datenschutzauditsiegels, 

5. die Anzeige nach § 9 Absatz 1 Satz 1. 
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§ 17 

Bußgeldvorschriften 

( 1 ) Ordnungswidrig handelt, wer 

1 . entgegen § 6 Absatz 2 ein Verzeichnis nicht, nicht rich- 
tig, nicht vollständig oder nicht rechtzeitig übennittelt 
oder einen dort genannten Bericht nicht, nicht richtig 
oder nicht rechtzeitig vorlegt, 

2. entgegen § 6 Absatz 3 Satz 2 oder Absatz 4 Satz 1 die zu- 
ständige Behörde, eine nichtöffentliche Stelle oder den 
Bundesbeauftragten nicht, nicht richtig, nicht vollständig 
oder nicht rechtzeitig unterrichtet, 

3. entgegen § 6 Absatz 3 Satz 3 eine Mitteilung nicht, nicht 
richtig, nicht vollständig oder nicht rechtzeitig macht, 

4. entgegen § 8 Absatz 1 eine Auskunft nicht, nicht richtig, 
nicht vollständig oder nicht rechtzeitig erteilt, 

5. entgegen § 8 Absatz 3 eine Maßnahme nicht duldet oder 

6. entgegen § 9 Absatz 1 Satz 1, auch in Verbindung mit 
einer Rechtsverordnung nach § 16 Absatz 3 Nummer 5, 
eine Anzeige nicht, nicht richtig, nicht vollständig oder 
nicht rechtzeitig erstattet. 

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrläs- 
sig einer vollziehbaren Anordnung nach § 7 Absatz 2 Satz 2 
zuwiderhandelt. 

(3) Die Ordnungswidrigkeit kann in den Fällen des 
Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend 
Euro, in den übrigen Fällen mit einer Geldbuße bis zu fünf- 
zigtausend Euro geahndet werden. Die Geldbuße soll den 
wirtschaftlichen Vorteil, den der Täter aus der Ordnungswid- 
rigkeit gezogen hat, übersteigen. Reichen die in Satz 1 ge- 
nannten Beträge hierfür nicht aus, können sie überschritten 
werden. 

§ 18 

Strafvorschriften 

Wer eine in § 17 Absatz 2 bezeichnete vorsätzliche Hand- 
lung in der Absicht begeht, sich oder einen anderen zu berei- 
chern oder einen anderen zu schädigen, wird mit Freiheits- 
strafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 

§ 19 

Einziehung 

Ist eine Ordnungswidrigkeit nach § 17 Absatz 1 oder 
Absatz 2 oder eine Straftat nach § 1 8 begangen worden, kön- 
nen Gegenstände, auf die sich die Straftat oder die Ord- 
nungswidrigkeit bezieht, und Gegenstände, die zu ihrer Be- 
gehung oder Vorbereitung gebraucht worden oder bestimmt 
gewesen sind, eingezogen werden. § 23 des Gesetzes über 
Ordnungswidrigkeiten und § 74a des Strafgesetzbuchs sind 
anzuwenden. 

§20 

Übergangsvorschrift 

§ 1 ist erst ab dem 1. Juli 2010 anzuwenden. 


Artikel 2 

Änderung des Bundesdatensehutzgesetzes 

Das Bundesdatenschutzgesetz in der Fassung der Be- 
kanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt 
geändert durch das Gesetz vom . . ., wird wie folgt geändert: 

1 . Die Inhaltsübersicht wird wie folgt geändert: 

a) Nach der Angabe zu § 9 wird die Angabe „§ 9a 
Datenschutzaudit“ gestrichen. 

b) Die Angabe zu § 28 wie folgt gefasst: 

„§ 28 Datenerhebung und -Speicherung für eigene 
Geschäftszwecke“. 

c) Nach der Angabe zu § 42 wird folgende Angabe ein- 
gefügt: 

„§ 42a Informationspflicht bei unrechtmäßiger Kennt- 
niserlangung von Daten“. 

d) Nach der Angabe zu § 46 wird folgende Angabe ein- 
gefügt: 

„§ 47 Übergangsregelung“. 

2. Dem § 4f Absatz 3 werden folgende Sätze angefügt: 

„Ist nach Absatz 1 ein Beauftragter für den Datenschutz 
zu bestellen, so ist die Kündigung des Arbeitsverhältnis- 
ses unzulässig, es sei denn, dass Tatsachen vorliegen, 
welche die verantwortliche Stelle zur Kündigung aus 
wichtigem Grund ohne Einhaltung einer Kündigungsfrist 
berechtigen. Nach der Abberufung als Beauftragter für 
den Datenschutz ist die Kündigung innerhalb eines Jah- 
res nach der Beendigung der Bestellung unzulässig, es sei 
denn, dass die verantwortliche Stelle zur Kündigung aus 
wichtigem Grund ohne Einhaltung einer Kündigungsfrist 
berechtigt ist. Zur Erhaltung der zur Erfüllung seiner 
Aufgaben erforderlichen Fachkunde hat die verantwort- 
liche Stelle dem Beauftragten für den Datenschutz die 
Teilnahme an Fort- und Weiterbildungsveranstaltungen 
zu ermöglichen und deren Kosten zu übernehmen.“ 

3. § 9a wird aufgehoben. 

4. ln § 12 Absatz 4 wird die Angabe „§ 28 Abs. 1 und 3 
Nr. 1“ durch die Wörter „§ 28 Absatz 1 und 2 Nummer 2 
Buchstabe a“ ersetzt. 

5. § 28 wird wie folgt geändert: 

a) Die Überschrift wird wie folgt gefasst: 

„§28 

Datenerhebung und -Speicherung für eigene 
Geschäftszwecke“. 

b) In Absatz 1 Satz 1 Nummer 1 werden die Wörter 
„Vertragsverhältnisses oder vertragsähnlichen Ver- 
trauensverhältnisses“ durch die Wörter „rechtsge- 
schäftlichen oder rechtsgeschäftsähnlichen Schuld- 
verhältnisses“ ersetzt. 

c) Absatz 2 wird wie folgt gefasst: 

„(2) Die Übermittlung oder Nutzung für einen an- 
deren Zweck ist zulässig 

1 . unter den Voraussetzungen des Absatzes 1 Satz 1 
Nummer 2 oder Nummer 3, 
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2. soweit es erforderlich ist 

a) zur Wahrung berechtigter Interessen eines Drit- 
ten oder 

b) zur Abwehr von Gefahren für die staatliche 
oder öffentliche Sicherheit oder zur Verfolgung 
von Straftaten 

und kein Grund zu der Annahme besteht, dass der 
Betroffene ein schutzwürdiges Interesse an dem 
Ausschluss der Übermittlung oder Nutzung hat, 
oder 

3. wenn es im Interesse einer Forschungseinrichtung 
zur Durchführung wissenschaftlicher Forschung 
erforderlich ist, das wissenschaftliche Interesse an 
der Durchführung des Forschungsvorhabens das 
Interesse des Betroffenen an dem Ausschluss der 
Zweckänderung erheblich überwiegt und der 
Zweck der Forschung auf andere Weise nicht oder 
nur mit unverhältnismäßigem Aufwand erreicht 
werden kaim.“ 

d) Absatz 3 wird wie folgt gefasst: 

„(3) Die Verarbeitung oder Nutzung personenbezo- 
gener Daten für Zwecke des Adresshandels, der Wer- 
bung oder der Markt- oder Meinungsforschung ist zu- 
lässig, soweit der Betroffene nach Maßgabe des 
Absatzes 3a eingewilligt hat. Darüber hinaus ist die 
Verarbeitung oder Nutzung personenbezogener Daten 
zulässig, soweit es sich um listenmäßig oder sonst zu- 
sammengefasste Daten über Angehörige einer Perso- 
nengruppe handelt, die sich auf die Zugehörigkeit des 
Betroffenen zu dieser Personengruppe, seine Berufs-, 
Branchen- oder Geschäftsbezeichnung, seinen Na- 
men, Titel, akademischen Grad, seine Anschrift und 
sein Geburtsjahr beschränken, und die Verarbeitung 
oder Nutzung 

1 . für Zwecke der Werbung für eigene Angebote oder 
der eigenen Markt- oder Meinungsforschung der 
verantwortlichen Stelle erforderlich ist, die diese 
Daten mit Ausnahme der Angabe zur Gruppenzu- 
gehörigkeit beim Betroffenen nach § 28 Absatz 1 
Satz 1 Nummer 1 erhoben hat, 

2. für Zwecke der Werbung oder der Markt- oder 
Meinungsforschung gegenüber freiberuflich oder 
gewerblich Tätigen unter deren Geschäftsadresse 
erforderlich ist oder 

3. für Zwecke der Spendenwerbung einer verant- 
wortlichen Stehe erforderlich ist, wenn Spenden 
an diese gemäß § 10b Absatz 1 und § 34g des Ein- 
kommensteuergesetzes steuerbegünstigt sind. 

Für Zwecke nach Satz 2 Nummer 1 darf die ver- 
antwortliche Stehe zu den dort genannten Daten wei- 
tere Daten hinzuspeichem. Die Nutzung personenbe- 
zogener Daten für Zwecke der Werbung oder der 
Markt- oder Meinungsforschung ist zudem zulässig, 
soweit sie zusammen mit Werbung oder Markt- oder 
Meinungsforschung nach Satz 2 Nummer 1 oder mit 
der Durchführung eines rechtsgeschäftlichen oder 
rechtsgeschäftsähnlichen Schuldverhältnisses nach 
Absatz 1 Satz 1 Nummer 1 erfolgt. Eine Verarbeitung 


oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, 
soweit schutzwürdige Interessen des Betroffenen 
nicht entgegenstehen. Nach den Sätzen 1 bis 3 über- 
mittelte Daten dürfen nur für den Zweck verarbeitet 
oder genutzt werden, für den sie übermittelt worden 
sind.“ 

e) Nach Absatz 3 werden folgende Absätze 3a und 3b 
eingefügt: 

„(3a) Wird die Einwilligung nach § 4a Absatz 1 
Satz 3 in anderer Form als der Schriftform erteilt, hat 
die verantwortliche Stelle dem Betroffenen den Inhalt 
der Einwilligung schriftlich zu bestätigen, es sei denn, 
dass die Einwilligung elektronisch erklärt wird und 
die verantwortliche Stelle sicherstellt, dass die Ein- 
willigung protokolliert wird und der Betroffene deren 
Inhalt jederzeit abrufen und die Einwilligung jederzeit 
mit Wirkung für die Zukunft widerrufen kann. Eine 
zusammen mit anderen Erklärungen erteilte Einwilli- 
gung ist nur wirksam, wenn der Betroffene durch An- 
kreuzen, durch eine gesonderte Unterschrift oder 
durch ein anderes, ausschließlich auf die Einwilligung 
in die Verarbeitung oder Nutzung der Daten für 
Zwecke des Adresshandels, der Werbung oder der 
Markt- oder Meinungsforschung bezogenes Tun 
zweifelsfrei zum Ausdruck bringt, dass er die Einwil- 
ligung bewusst erteilt. 

(3b) Die verantwortliche Stelle darf den Abschluss 
eines Vertrags nicht von einer Einwilligung des Be- 
troffenen nach Absatz 3 Satz 1 abhängig machen, 
weim dem Betroffenen ein anderer Zugang zu gleich- 
wertigen vertraglichen Leistungen ohne die Einwilli- 
gung nicht oder nicht in zumutbarer Weise möglich 
ist.“ 

f) Absatz 4 wird wie folgt geändert: 

aa) In Satz 1 werden das Wort „Nutzung“ jeweils 
durch das Wort „Verarbeitung“ und das Wort 
„Übermittlung“ jeweils durch das Wort „Nut- 
zung“ ersetzt. 

bb) In Satz 2 werden nach dem Wort „Ansprache“ die 
Wörter „und in den Fähen des Absatzes 1 Satz 1 
Nummer 1 auch bei Begründung des rechts- 
geschäftlichen oder rechtsgeschäftsähnlichen 
Schuldverhältnisses“ eingefügt. 

cc) Satz 3 wird wie folgt geändert: 

aaa) Nach dem Wort „Daten“ werden die Wörter 
„im Rahmen der Zwecke“ eingefügt. 

bbb) Das Wort „werden“ wird durch die Wörter 
„worden sind“ ersetzt. 

dd) Folgender Satz wird angefügt: 

„In den Fällen des Absatzes 1 Satz 1 Nummer 1 
darf für den Widerspruch keine strengere Form 
verlangt werden als für die Begründung des 
rechtsgeschäftlichen oder rechtsgeschäftsähn- 
lichen Schuldverhältnisses.“ 

g) In Absatz 9 Satz 4 wird die Angabe „Abs. 3 Nr. 2“ 
durch die Wörter „Absatz 2 Nummer 2 Buchstabe b“ 
ersetzt. 


Drucksache 16/12011 


- 14- 


Deutscher Bundestag — 16. Wahlperiode 


6. § 29 wird wie folgt geändert: 

a) Absatz 1 wird wie folgt geändert: 

aa) ln Satz 1 wird nach dem Wort „Markt-“ das Wort 
„und“ durch das Wort „oder“ ersetzt. 

bb) ln Satz 2 werden die Wörter „§ 28 Abs. 1 Satz 2“ 
durch die Wörter „§ 28 Absatz 1 Satz 1 und 
Absatz 3 bis 3b“ ersetzt. 

b) Absatz 2 wird wie folgt geändert: 

aa) Satz 1 Nummer 1 wird wie folgt gefasst: 

„1. der Dritte, dem die Daten übermittelt wer- 
den, ein berechtigtes Interesse an ihrer 
Kenntnis glaubhaft dargelegt hat und“. 

bb) ln Satz 2 werden die Wörter „§ 28 Abs. 3 Satz 2“ 
durch die Wörter „§ 28 Absatz 3 bis 3b“ ersetzt. 

ec) ln Satz 3 wird nach der Angabe „Nummer 1“ die 
Angabe „Buchstabe a“ gestrichen. 

7. ln § 33 Absatz 2 Satz 1 Nummer 8 Buchstabe b werden 
die Wörter „§ 29 Abs. 2 Nr. 1 Buchstabe b“ durch die 
Wörter „§ 29 Absatz 2 Satz 2“ ersetzt. 

8. Nach § 42 wird folgender § 42a eingefügt: 

,,§ 42a 

Informationspflicht bei unrechtmäßiger 
Kenntniserlangung von Daten 

Stellt eine nichtöffentliche Stelle im Sinne des § 2 
Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 
Satz 1 Nummer 2 fest, dass bei ihr gespeicherte 

1 . besondere Arten personenbezogener Daten (§ 3 
Absatz 9), 

2. personenbezogene Daten, die einem Berufsgeheimnis 
unterliegen, 

3 . personenbezogene Daten, die sich auf strafbare Hand- 
lungen oder Ordnungswidrigkeiten oder den Verdacht 
strafbarer Handlungen oder Ordnungswidrigkeiten 
beziehen, oder 

4. personenbezogene Daten zu Bank- oder Kreditkarten- 
konten 

unrechtmäßig übermittelt oder auf sonstige Weise Dritten 
unrechtmäßig zur Kenntnis gelangt sind und drohen 
schwerwiegende Beeinträchtigungen für die Rechte oder 
schutzwürdigen Interessen der Betroffenen, hat sie dies 
nach den Sätzen 2 bis 5 unverzüglich der zuständigen 
Aufsichtsbehörde sowie den Betroffenen mitzuteilen. 
Die Benachrichtigung des Betroffenen muss unver- 
züglich erfolgen, sobald angemessene Maßnahmen zur 
Sicherung der Daten ergriffen worden oder nicht unver- 
züglich erfolgt sind und die Strafverfolgung nicht mehr 
gefährdet wird. Die Benachrichtigung der Betroffenen 
muss eine Darlegung der Art der unrechtmäßigen Kennt- 
niserlangung und Empfehlungen für Maßnahmen zur 
Minderung möglicher nachteiliger Folgen enthalten. Die 
Benachrichtigung der zuständigen Aufsichtsbehörde 
muss zusätzlich eine Darlegung möglicher nachteiliger 
Folgen der unrechtmäßigen Kermtniserlangung und der 
von der Stelle daraufhin ergriffenen Maßnahmen enthal- 


ten. Soweit die Benachrichtigung der Betroffenen einen 
unverhältnismäßigen Aufwand erfordern würde, insbe- 
sondere auf Grund der Vielzahl der betroffenen Fälle, tritt 
an ihre Stelle die Infonnation der Öffentlichkeit durch 
Anzeigen, die mindestens eine halbe Seite umfassen, in 
mindestens zwei bundesweit erscheinenden Tageszeitun- 
gen. Eine Benachrichtigung, die der Benachrichtigungs- 
pflichtige erteilt hat, darf in einem Strafverfahren oder in 
einem Verfahren nach dem Gesetz über Ordnungswidrig- 
keiten gegen ihn oder einen in § 52 Absatz 1 der Straf- 
prozessordnung bezeichneten Angehörigen des Benach- 
richtigungspflichtigen nur mit Zustimmung des Benach- 
richtigungspflichtigen verwendet werden.“ 

9. § 43 wird wie folgt geändert: 

a) Absatz 1 wird wie folgt geändert: 

aa) Nach Nummer 2 werden folgende Nummern 2a 
und 2b eingefugt: 

„2a. entgegen § 10 Absatz 4 Satz 3 nicht ge- 
währleistet, dass die Datenübermittlung 
festgestellt und überprüft werden kann, 

2b. entgegen § 11 Absatz 2 Satz 2 einen Auf- 
trag nicht, nicht richtig, nicht vollständig 
oder nicht in der vorgeschriebenen Weise 
erteilt,“. 

bb) Nach Nummer 3 wird folgende Nummer 3a ein- 
gefügt: 

„3a. entgegen § 28 Absatz 4 Satz 4 eine stren- 
gere Form verlangt,“. 

b) Absatz 2 wird wie folgt geändert: 

aa) ln Nummer 5 werden die Wörter „, indem er sie 
an Dritte weitergibt“ und am Ende das Wort 
„oder“ gestrichen. 

bb) Folgende Nummer 5a wird angefugt: 

„5a. entgegen § 28 Absatz 4 Satz 1 Daten für 
Zwecke der Werbung oder der Markt- oder 
Meinungsforschung verarbeitet oder nutzt,“. 

cc) ln Nummer 6 wird der Punkt am Ende durch das 
Wort „oder“ ersetzt. 

dd) Folgende Nummer 7 wird angefugt: 

„7. entgegen § 42a Satz 1 eine Mitteilung nicht, 
nicht richtig, nicht vollständig oder nicht 
rechtzeitig macht.“ 

c) Absatz 3 wird wie folgt geändert: 

aa) Das Wort „fünfundzwanzigtausend“ wird durch 
das Wort „fünfzigtausend“ und das Wort „zwei- 
hundertfünfzigtausend“ wird durch das Wort 
„dreihunderttausend“ ersetzt. 

bb) Nach Satz 1 werden folgende Sätze eingefugt: 

„Die Geldbuße soll den wirtschaftlichen Vorteil, 
den der Täter aus der Ordnungswidrigkeit gezo- 
gen hat, übersteigen. Reichen die in Satz 1 ge- 
nannten Beträge hierfür nicht aus, so können sie 
überschritten werden.“ 
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10. Nach § 46 wird folgender § 47 eingefügt: 

„§47 

Übergangsregelung 

Für die Verarbeitung und Nutzung vor dem 1. Juli 
2009 erhobener Daten ist § 28 in der bis dahin gelten- 
den Fassung bis zum 1. Juli 2012 weiter anzuwenden.“ 

Artikel 3 

Änderung des Telemediengesetzes* 

Das Telemediengesetz vom 26. Februar 2007 (BGBl. 1 
S. 179) wird wie folgt geändert: 

1. ln § 11 Absatz 3 werden die Wörter „§ 12 Abs. 3, § 15 
Abs. 8 und § 16 Abs. 2 Nr. 2 und 5“ durch die Wörter 
„§ 15 Absatz 8 und § 16 Absatz 2 Nummer 4“ ersetzt. 

2. § 12 wird wie folgt geändert: 

a) Absatz 3 wird aufgehoben. 

b) Der bisherige Absatz 4 wird Absatz 3. 

3. Nach § 15 wird folgender § 15a eingefügt: 

,,§ 15a 

Informationspflicht bei unrechtmäßiger 
Keimtniserlangung von Daten 

Stellt der Diensteanbieter fest, dass bei ihm gespei- 
cherte Bestands- oder Nutzungsdaten unrechtmäßig 
übermittelt worden oder auf sonstige Weise Dritten zur 
Kermtnis gelangt sind, und drohen schwerwiegende Be- 
einträchtigungen für die Rechte oder schutzwürdigen In- 
teressen des betroffenen Nutzers, gilt § 42a des Bundes- 
datenschutzgesetzes entsprechend.“ 


Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen 
Parlaments und des Rates vom 22. Juni 1998 über ein Informations- 
Verfahren auf dem Gebiet der Nonnen und technischen Vorschriften 
und der Vorschriften für die Dienste der Informationsgesellschaft 
(ABI. L 204 vom 21.7. 1998, S. 37), die zuletzt durch die Richtlinie 
2006/96/EG vom 20. November 2006 (ABI. L 363 vom 20. 12. 2006, 
S. 82) geändert worden ist, sind beachtet worden. 


4. § 16 Absatz 2 wird wie folgt geändert: 

a) Nummer 2 wird aufgehoben. 

b) Die bisherigen Nummern 3 bis 6 werden die Num- 
mern 2 bis 5. 

Artikel 4 

Änderung des Telekommunikationsgesetzes 

Das Telekommunikationsgesetz vom 22. Juni 2004 
(BGBl. I S. 1190), zuletzt geändert durch ..., wird wie folgt 
geändert: 

1 . Dem § 93 wird folgender Absatz 3 angefügt: 

„(3) Stellt der Diensteanbieter fest, dass bei ihm ge- 
speicherte Bestandsdaten oder Verkehrsdaten unrechtmä- 
ßig übermittelt worden oder auf sonstige Weise Dritten 
zur Kenntnis gelangt sind, und drohen schwerwiegende 
Beeinträchtigungen für die Rechte oder schutzwürdigen 
Interessen des betroffenen Nutzers, gilt § 42a des Bun- 
desdatenschutzgesetzes entsprechend.“ 

2. In § 95 Absatz 5 werden nach dem Wort „Telekommuni- 
kationsdiensten“ die Wörter „ohne die Einwilligung“ ein- 
gefügt. 

Artikel 5 

Bekanntmachungserlaubnis 

Das Bundesministerium des Innern kann den Wortlaut des 
Bundesdatenschutzgesetzes in der vom 1 . Juli 2009 an gel- 
tenden Fassung im Bundesgesetzblatt bekannt machen. 

Artikel 6 
Inkrafttreten 

(1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2 am 
Tag nach der Verkündung in Kraft. 

(2) Die Artikel 2, 3 und 4 treten am 1. Juli 2009 in Kraft. 
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Begründung 


A. Allgemeiner Teil 
I. Ziel und Inhalt des Entwurfs 

ln der jüngeren Vergangenheit sind zunehmend Fälle des un- 
berechtigten Handels mit personenbezogenen Daten bekaimt 
geworden. Die Herkunft der Daten ist größtenteils nicht 
nachvollziehbar. Der bisherige Erlaubnistatbestand des § 28 
Absatz 3 Satz 1 Nummer 3 des Bundesdatenschutzgesetzes 
hat sich dabei für die Herstellung der notwendigen Transpa- 
renz als besonders nachteilig erwiesen. Danach dürfen be- 
stimmte personenbezogene Daten, wenn sie listenmäßig 
oder sonst zusammengefasst sind, für Zwecke der Werbung 
oder der Markt- oder Meinungsforschung, ohne Einwilli- 
gung der Betroffenen übemiittelt oder genutzt werden. Die 
praktische Anwendung dieser Vorschrift hat dazu geführt, 
dass personenbezogene Daten der Bürgerinnen und Bürger 
weitläufig zum Erwerb oder zur Nutzung angeboten werden, 
ohne in jedem Fall die in der Vorschrift angelegten Anforde- 
rungen zu beachten. Personenbezogene Daten werden ohne 
Beachtung der Zweckbindung verarbeitet und mit weiteren 
Daten verknüpft und weiter übermittelt. Zudem hat sich das 
Verhältnis der Bürgerinnen und Bürger zur Werbung und 
Markt- oder Meinungsforschung seit der Einführung der 
Vorschrift im Bundesdatenschutzgesetz von 1977 gewan- 
delt. Die gezielte Ansprache zum Zwecke der Werbung oder 
Markt- oder Meinungsforschung wird von den Bürgerinnen 
und Bürgern zunehmend als Belastung empfunden und ist 
mit dem Wunsch nach mehr Selbstbestimmung verbunden. 
Zudem haben die öffentlich bekannt gewordenen Vorkomm- 
nisse deutlich gemacht, dass für eine effektivere Durchset- 
zung der bestehenden gesetzlichen Regelungen zum Daten- 
schutz die Stellung der betrieblichen Beauftragten für den 
Datenschutz gestärkt werden muss und die Bußgeldtatbe- 
stände erweitert werden müssen, um zu einem wirksamen 
Vorgehen der Aufsichtsbehörden beizutragen. Die vorge- 
schlagenen Änderungen resultieren in weiten Bereichen aus 
den Erfahrungen der Länder im Bereich der Aufsichtspraxis. 
Die Regelungen zur Neugestaltung des § 28 Absatz 3 des 
Bundesdatenschutzgesetzes finden unabhängig von der Un- 
temehmensgröße Anwendung, jedoch zielen insbesondere 
die vorgeschlagenen gesetzlichen Erlaubnistatbestände in 
§ 28 Absatz 3 Satz 2 Nummer 2 und Satz 4 auf eine Entlas- 
tung spezialisierter kleinerer und mittlerer Unternehmen. 

Das Datenschutzauditgesetz bietet Unternehmen die Mög- 
lichkeit, sich auf freiwilliger Basis einem Datenschutzaudit 
zu unterziehen und hierfür in ein Kontrollsystem einbezie- 
hen zu lassen. Erfüllt ein Datenschutzkonzept oder eine 
informationstechnische Einrichtung von einem Datenschutz- 
auditausschuss beim Bundesbeauftragten für den Daten- 
schutz und die Informationsfreiheit festgelegte Richtlinien 
zur Verbesserung des Datenschutzes und der Datensicherheit 
und lassen die Unternehmen dies in einem formalisierten 
Verfahren durch Kontrollstellen regelmäßig überprüfen, 
können sie das Datenschutzkonzept oder die informa- 
tionstechnische Einrichtung mit einem Datenschutzauditsie- 
gel kennzeichnen. Auf diese Weise können Unternehmen 
einen Vorteil gegenüber Wettbewerbern erzielen, die sich 
keinem Datenschutzaudit unterziehen. Verbraucher können 


gekermzeichnete Datenschutzkonzepte oder informations- 
technische Einrichtungen an dem Datenschutzauditsiegel 
erkennen und bei der Entscheidung zwischen mehreren An- 
bietern berücksichtigen. Anstrengungen, die über die gesetz- 
lichen Anforderungen in Bezug auf den Datenschutz hinaus- 
gehen, können für Unternehmen einen wirtschaftlichen 
Mehrwert darstellen. Zugleich wird bei den Verbrauchern 
Bewusstsein für die Datenschutzrelevanz eines Produktes 
oder einer Dienstleistung geschaffen und gefordert. 

II. Gesetzgebungskompetenz 

Die Gesetzgebungskompetenz des Bundes folgt für Rege- 
lungen des Datenschutzes als Annex aus der Kompetenz für 
die geregelte Sachmaterie. 

Einem Datenschutzaudit nach Artikel 1 können sich private 
Unternehmen und diesen gleichgestellte öffentlich-recht- 
liche Wettbewerbsuntemehmen unterziehen. Betroffene 
Sachmaterie ist daher ganz überwiegend das Recht der Wirt- 
schaft (Artikel 74 Absatz 1 Nummer 1 1 des Grundgesetzes). 
Die Berechtigung des Bundes zur Inanspruchnahme der Ge- 
setzgebungskompetenz ergibt sich aus Artikel 72 Absatz 2 
Grundgesetz. Eine bundesgesetzliche Regelung über ein 
Datenschutzaudit ist zur Wahrung der Wirtschaftseinheit im 
Bundesgebiet im gesamtstaatlichen Interesse erforderlich. 
Eine unterschiedliche Regelung dieser Materie durch den 
Landesgesetzgeber oder sein Untätigbleiben würde zu er- 
heblichen Nachteilen für die Gesamtwirtschaft führen, die 
sowohl im Interesse des Bundes als auch der Länder nicht 
hingenommen werden können. Insbesondere wäre zu be- 
fürchten, dass unterschiedliche landesrechtliche Behandlun- 
gen gleicher Lebenssachverhalte erhebliche Wettbewerbs- 
verzerrungen und störende Schranken für die länderüber- 
greifende Wirtschaftstätigkeit zur Folge hätten. Dies wäre 
etwa der Fall, wenn Datenschutzauditsiegel in den Ländern 
anhand unterschiedlicher Verfahren vergeben würden. Die 
landesrechtlich unterschiedliche Ausgestaltung des Kon- 
trollverfahrens und des Verfahrens für die Zulassung der 
Kontrollstellen würde abweichende Maßstäbe bei der Prü- 
fung und Bewertung nach sich ziehen. Unternehmen, die 
länderübergreifend oder bundesweit agieren, müssten sich 
für gleich bleibende Auditgegenstände unterschiedlichen 
Verfahren und Kontrollen durch wechselnde Personen unter- 
ziehen mit der Gefahr abweichender Ergebnisse. In einem 
Land auditierte und mit einem Datenschutzauditsiegel ge- 
kennzeichnete Datenschutzkonzepte oder informationstech- 
nische Einrichtungen unterlägen in den einzelnen Ländern 
unterschiedlichen Bedingungen. Dies würde die Verwend- 
barkeit für die betroffenen Unternehmen nachhaltig beein- 
trächtigen. Unterschiedliche Landesregelungen zum Daten- 
schutzauditverfahren würden zu einer gesamtstaatlich be- 
denklichen Verlagerung der wirtschaftlichen Aktivitäten in 
weniger kontrollintensive Länder fuhren. Unterläge ein Da- 
tenschutzkonzept oder eine informationstechnische Einrich- 
tung in Ländern verschärften Kontrollmaßnahmen, käme es 
unter Umständen dort nicht zum Einsatz. Dies hätte auch 
Folgen für Verbraucherinnen und Verbraucher, die in solchen 
Ländern auf auditierte Verfahren und Produkte nicht zurück- 
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greifen könnten. Auch unterschiedliche Landesregelungen 
in Bezug auf den Kreis der in die Kontrollen einbezogenen 
Auditgegenstände bergen Gefahren für die Sicherheit und 
Verlässlichkeit des gesamten Kontrollverfahrens. Ein lan- 
desrechtlich unterschiedliches Kontrollniveau wäre den Ver- 
braucherinnen und Verbrauchern auch nicht zu vermitteln. 
Das Vertrauen der Verbraucher in Datenschutzauditsiegel 
wäre insgesamt ersehüttert. Auch für die Festlegung der von 
den Kontrollstellen zu erfüllenden Aufzeichnungs- und Mel- 
depflichten ist eine bundesgesetzliche Regelung im gesamt- 
staatlichen Interesse notwendig. Im Falle landesrechtlich un- 
terschiedlich geregelter Pflichten der Kontrollstellen bestün- 
de die Gefahr, dass die für die Aufklärung von Verstößen 
wichtigen gegenseitigen Unterrichtungen, die gerade auch 
ein schnelles Tätigwerden der zuständigen Behörden ermög- 
lichen sollen, ins Leere liefen. Nur durch eine bundesgesetz- 
liche Regelung kann sichergestellt werden, dass für den 
Wirtschaftsstandort Deutschland einheitliche rechtliche 
Rahmenbedingungen im Hinblick auf die Verwendung des 
Datensehutzauditsiegels gegeben sind. Sinn des Daten- 
schutzauditsiegels ist es gerade, durch seine einheitliche 
Ausgestaltung die Verbraucherinnen und Verbraucher über 
die zur Verbesserung des Datenschutzes beitragende Gestal- 
tung zu informieren und hinsichtlich dieser Gestaltung für 
das gesamte Bundesgebiet einheitliche Standards zu setzen. 
Eine bundesgesetzliche Regelung ist ferner erforderlich, um 
einheitliche rechtliche Rahmenbedingungen im Hinblick auf 
den Schutz der Verbraucherinnen und Verbraucher durch 
Sanktionen bei Verstößen zu gewährleisten. 

Betroffene Sachmaterien des Artikels 2 sind vorwiegend das 
Bürgerliche Recht (Artikel 74 Absatz 1 Nummer 1 des 
Grundgesetzes), das Recht der Wirtschaft (Artikel 74 
Absatz 1 Nummer 11 des Grundgesetzes) und das Arbeits- 
recht (Artikel 74 Absatz 1 Nummer 12 des Grundgesetzes). 
Soweit die konkurrierende Gesetzgebungskompetenz des 
Bundes gemäß Artikel 74 Absatz 1 Nummer 1 1 des Grund- 
gesetzes in Anspruch genommen wird, besteht die Erforder- 
lichkeit einer bundesgesetzlichen Regelung gemäß Arti- 
kel 72 Absatz 2 des Grundgesetzes. Eine bundeseinheitliche 
Regelung der gesetzlichen Erlaubnistatbestände für die Ver- 
arbeitung und Nutzung personenbezogener Daten zum Zwe- 
cke des Adresshandels und der Werbung, Markt- oder 
Meinungsforschung, des Kündigungsschutzes der Beauf- 
tragten für den Datenschutz und einer Informationspflicht 
von Unternehmen bei einer unbefugten Kenntniserlangung 
sensibler Daten durch Dritte ist zur Wahrung der Wirt- 
schaftseinheit im Bundesgebiet im gesamtstaatlichen Inte- 
resse erforderlich. Eine unterschiedliche oder ausbleibende 
Regelung dieser Materien durch den Landesgesetzgeber 
würde zu erheblichen Nachteilen für die Gesamtwirtschaft 
führen, die sowohl im Interesse des Bundes als auch der Län- 
der nicht hingenommen werden kann. Insbesondere wäre zu 
befürchten, dass unterschiedliche landesrechtliche Behand- 
lungen gleicher Lebenssachverhalte erhebliche Wettbe- 
werbsverzerrungen und störende Schranken für die länder- 
übergreifende Wirtschaftstätigkeit zur Folge hätten. Bei 
unterschiedlichen Regelungen durch die Länder bestünde 
die Gefahr, dass einige Unternehmen weiterhin personenbe- 
zogene Daten ohne Einwilligung der Betroffenen zum Zwe- 
cke der Werbung, Markt- oder Meinungsforschung für Dritte 
verarbeiten und nutzen können, einen Beauftragten für den 
Datenschutz aus Gründen, die nicht auf sein Amt bezogen 


sind, kündigen können oder bei einer unbefugten Kermtnis- 
erlangung sensibler Daten durch Dritte die Aufsichtsbehör- 
den und die Betroffenen nicht benachrichtigen müssen. An- 
deren Unternehmen in anderen Ländern bliebe diese 
Möglichkeit verwehrt bzw. sie wären zur Benachrichtigung 
verpflichtet, obwohl es sich um die gleichen personenbezo- 
genen Daten handelt, die gleichen betrieblichen Voraus- 
setzungen bestehen oder dieselbe unbefugte Kermtniserlan- 
gung sensibler Daten durch Dritte erfolgt ist. Es entstünden 
für letztere gravierende wettbewerbsverzerrende Änderun- 
gen, denen die erstgenannten Unternehmen nicht ausgesetzt 
wären. Zudem können die bestehenden Regelungen des 
Bundesdatenschutzgesetzes nur durch ein Bundesgesetz ge- 
ändert werden. 

Betroffene Sachmaterie der Artikel 3 und 4 ist das Recht der 
Wirtschaft (Artikel 74 Absatz 1 Nummer 1 1 des Grundge- 
setzes). Es besteht die Erforderlichkeit einer bundesgesetz- 
lichen Regelung gemäß Artikel 72 Absatz 2 Grundgesetz. 
Eine bundeseinheitliche Regelung der Informationspflicht 
bei unbefügter Kenntniserlangung sensibler Daten und des 
Kopplungsverbots im Telemedien- und Telekommunika- 
tionsgesetz ist zur Wahrung der Wirtschaftseinheit im Bun- 
desgebiet im gesamtstaatlichen Interesse erforderlich. Die 
bestehenden Regelungen des Telemedien- und Telekommu- 
nikationsgesetzes können nur durch ein Bundesgesetz geän- 
dert werden. Eine ausbleibende Regelung würde zu erheb- 
lichen Nachteilen für die Gesamtwirtschaft führen, die im 
Interesse des Bundes nicht hingenommen werden können. 
Insbesondere wäre zu befürchten, dass die unterschiedliche 
Behandlung gleicher Lebenssachverhalte zu erheblichen 
Wettbewerbsverzerrungen führt. Unternehmen, die dem 
Telemedien- oder Telekommunikationsgesetz unterliegen, 
müssten bei einer unbefugten Kenntniserlangung sensibler 
Daten durch Dritte die Aufsichtsbehörden und die Betroffe- 
nen nicht benachrichtigen und unterlägen einem gegenüber 
der Regelung im Bundesdatenschutzgesetz eingeschränktem 
Kopplungsverbot. Andere Unternehmen blieben zur Be- 
nachrichtigung verpflichtet, obwohl es sich um vergleichbar 
sensible personenbezogene Daten handelt, und dürften in ge- 
ringerem Umfang Kopplungen vornehmen. Es entstünden 
für diese dadurch gravierende wettbewerbsverzerrende Än- 
derungen, denen die Unternehmen, die dem Telemedien- 
oder Telekommunikationsgesetz unterliegen, nicht ausge- 
setzt wären. 


III. Vereinbarkeit mit dem Recht der Europäischen 
Union 

Der Gesetzentwurf ist mit dem Recht der Europäischen 
Union vereinbar. Er steht insbesondere nicht im Widerspruch 
zu den Regelungen der Richtlinie 95/46/EG (EG-Daten- 
schutzrichtlinie). 

Bei einem Datensehutzaudit nach dem Gesetzentwurf wer- 
den Datenschutzkonzepte oder infonuationstechnische Ein- 
richtungen anhand von Richtlinien zur Verbesserung des 
Datenschutzes und der Datensicherheit überprüft, die über 
die Vorschriften hinausgehen, die die Vorgaben der EG- 
Datenschutzrichtlinie enthält. Der Gesetzentwurf fördert 
daher mittelbar die tatsächliche Durchsetzung dieser Rege- 
lungen. 
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Die Stärkung der Unabhängigkeit des Beauftragten für den 
Datenschutz durch einen erweiterten Kündigungsschutz und 
die Ermöglichung der Fortbildung fördern die Vorgabe in 
Artikel 18 Absatz 2 Spiegelstrich 3 der Richtlinie. Danach 
sehen die Mitgliedstaaten eine „unabhängige Überwachung“ 
der Anwendung der zur Umsetzung der Richtlinie erlassenen 
einzelstaatlichen Bestimmungen durch den Beauftragten für 
den Datenschutz vor. Die Stärkung der Einwilligung und die 
Beschränkung der gesetzlichen Erlaubnis zur Verarbeitung 
und Nutzung personenbezogener Daten zu nicht ausschließ- 
lich eigenen Zwecken der Werbung, Markt- oder Meinungs- 
forschung steht im Einklang mit den Regelungen der Richt- 
linie und wird insbesondere den aus Artikel 2 Buchstabe h, 
Artikel 7 Buchstabe a und Artikel 14 Satz 1 Buchstabe b der 
Richtlinie abzuleitenden Zielen gerecht. 

IV. Finanzielle Auswirkungen auf die öffentlichen 
Haushalte 

Das Gesetz bewirkt keine Haushaltsausgaben ohne Voll- 
zugsaufwand. 

In Bezug auf das Datenschutzauditgesetz entsteht bei den zu- 
ständigen Behörden der Länder Vollzugsaufwand. Sie haben 
die zugelassenen Kontrollstellen, die das Kontrollverfahren 
durchführen, zu überwachen und Verstöße dem Bundes- 
beauftragten für den Datenschutz und die Informationsfrei- 
heit mitzuteilen. Bestimmte hoheitliche Maßnahmen sind 
ihnen Vorbehalten. Die Kosten für die einzelnen Amtshand- 
lungen der zuständigen Behörden können vom Bund und den 
Ländern durch Kostenordnungen auf die Antragsteller abge- 
wälzt werden. 

Vollzugsaufwand entsteht durch die Bildung eines Daten- 
schutzauditausschusses mit Vertretern aus Bund, Ländern 
und der Wirtschaft nebst Geschäftsstelle beim Bundesbeauf- 
tragten für den Datenschutz und die Infonnationsfreiheit. 
Die Tätigkeit der Vertreter erfolgt ehrenamtlich. 

Weiterer Vollzugsaufwand entsteht beim Bundesbeauftrag- 
ten für den Datenschutz und die Informationsfreiheit in 
einem Teilbereich durch die Überwachung der Kontrollstel- 
len; ferner durch die Zulassung und die Entziehung der Zu- 
lassung gegenüber den Kontrollstellen und die Führung 
eines Registers der angezeigten Datenschutzkonzepte und 
informationstechnischen Einrichtungen sowie der zugelasse- 
nen Kontrollstellen. 

Für den Vollzugsaufwand beim Bundesbeauftragten für den 
Datenschutz und die Informationsfreiheit können in Abhän- 
gigkeit von der Zahl der Kontrollstellen bis zu 1 5 zusätzliche 
Stellen sowie jährlich Haushaltsmittel in Höhe von rd. 
1,2 Mio. Euro für Personal- und Sachausgaben benötigt 
werden. Über die Ausbringung und Finanzierung dieser 
Personal- und Sachausgaben ist im Haushaltsaufstellungs- 
verfahren 2010 zu entscheiden. 

V. Kosten 

Kosten für die Wirtschaft entstehen, soweit nach Ablauf der 
Übergangsvorschrift künftig eine Einwilligung der Betroffe- 
nen einzuholen ist, um deren personenbezogene Daten für 
Zwecke der Werbung, Markt- oder Meinungsforschung zu 
verarbeiten und zu nutzen. Ferner können Kosten für die 
Wirtschaft entstehen, soweit diese künftig verpflichtet sind, 


bei unrechtmäßiger Keimtniserlangung bestimmter Daten 
durch Dritte die Aufsichtsbehörden und die Betroffenen 
bzw. ersatzweise die Öffentlichkeit zu benachrichtigen. 

Kosten für die Wirtschaft können nach Maßgabe von ggf. 
von den Ländern und dem Bund zu erlassenden Kostenord- 
nungen entstehen, durch die die Kosten für die einzelnen 
Auditverfahren auf die Antragsteller abgewälzt werden kön- 
nen. Des Weiteren wird die Durchführung des Audits (Sam- 
meln und Zurverfügungstellen von Informationen, ggf. erfor- 
derliche Nachbesserungen am Gegenstand des Audits) 
Kosten bei den kontrollierten Stellen verursachen. Die Höhe 
dieser Kosten lässt sich zum gegenwärtigen Zeitpunkt nicht 
näher beziffern, da die konkrete Ausgestaltung des Verfah- 
rens einer noch zu erlassenden Rechtsverordnung Vorbehal- 
ten ist und die Richtlinien zur Verbesserung des Datenschut- 
zes und der Datensicherheit als Maßstab der Prüfung von 
einem noch zu errichtenden Datenschutzauditausschuss zu 
beschließen sind. Kosten entstehen bei den Stellen, die sich 
beim Bundesbeauftragten für den Datenschutz und die Infor- 
mationsfreiheit als Kontrollstellen zulassen und im Rahmen 
des Kontrollsystems gegen angemessene Vergütung Kon- 
trollen durchführen und dabei von den zuständigen Behör- 
den der Länder überwacht werden. 

Zusätzliche Kosten für Bürgerinnen und Bürger sind nicht zu 
erwarten. 

Zusätzliche Kosten für die Verwaltung entstehen nicht. Aus- 
wirkungen auf Einzelpreise und das allgemeine Preisniveau, 
insbesondere auf das Verbraucherpreisniveau, sind nicht zu 
erwarten. 

VI. Auswirkungen 

1 . Bürokratiebelastungen für die Wirtschaft 

Für die Wirtschaft werden 15 Informationspflichten neu ein- 
geführt und eine Infonnationspflicht geändert. 

Geändert wird die Informationspflicht in § 28 Absatz 3 des 
Bundesdatenschutzgesetzes. Hier wird partiell die gesetz- 
liche Erlaubnis mit der Möglichkeit des Widerspruchs (§ 28 
Absatz 4 Satz 1 des Bundesdatenschutzgesetzes) umgestellt 
auf eine Einwilligung. Damit entfällt in diesen Fällen die 
Hinweispflicht bei der Verwendung der Daten zu Gunsten ei- 
ner Einwilligung von ihrer Weitergabe. Durch diese Ände- 
rung entstehen Bürokratiekosten von 9,65 Mio. Euro. Der 
Betrag errechnet sich bei einer Fallzahl von 30 Millionen 
Kundenbeziehungen, in denen der Vertragspartner diese 
Einwilligung anstrebt (insbesondere Verträge im Versand- 
handel- 13,5 Millionen, Telekommunikation - 13,5 Millio- 
nen, übrige Gebiete - 3 Millionen Fälle), einer Bearbeitungs- 
zeit von einer Minute pro Fall und einem Stundensatz von 
19,30 Euro. Die Bearbeitungszeit dürfte in der Vielzahl der 
Fälle bei einer elektronischen Abwicklung deutlich geringer 
sein. Die angenommene Minute beinhaltet daher auch Auf- 
wand zur Schulung von Mitarbeitern und zur Umstellung 
von Webseiten. 

Durch die übrigen neu eingeführten Informationspflichten 
entstehen insgesamt Bürokratiekosten von 493 761 Euro. 

Durch die Änderung des § 28 Absatz 4 Satz 2 des Bundesda- 
tenschutzgesetzes werden nichtöffentliche Stellen verpflich- 
tet, Betroffene über die verantwortliche Stelle und das 
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Widerspruchsrecht in den Fällen des § 28 Absatz 1 Satz 1 
Nummer 1 auch bei Begründung des rechtsgeschäftlichen 
oder rechtsgeschäftsähnlichen Schuldverhältnisses zu unter- 
richten. § 42a des Bundesdatenschutzgesetzes verpflichtet 
nichtöffentliche Stellen, die Aufsichtsbehörde und die Be- 
troffenen unverzüglich zu benachrichtigen, wenn bestimmte 
sensible Daten unrechtmäßig Dritten zur Kenntnis gelangt 
sind und schwerwiegende Beeinträchtigungen für die Rechte 
oder schutzwürdigen Interessen der Betroffenen drohen. So- 
weit die Benachrichtigung der Betroffenen einen unverhält- 
nismäßigen Aufwand erfordern würde, insbesondere auf- 
grund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle 
die Information an die Öffentlichkeit durch Anzeigen, die 
mindestens eine halbe Zeitungsseite umfassen, in mindes- 
tens zwei bundesweit erscheinenden Tageszeitungen. 

Das Datenschutzauditgesetz enthält für die Wirtschaft fol- 
gende neue Informationspflichten: 

Eine Kontrollstelle hat ihre Zulassung zu beantragen (§ 4 
Absatz 1 ) und kann diese auf einzelne Länder beschränken 
(§ 4 Absatz 2 Satz 2). Auf Antrag der Kontrollstelle kann 
ihr eine Ausnahme von der Einbeziehung von einem Daten- 
schutzkonzept oder einer informationstechnischen Einrich- 
tung in ihre Kontrollen gewährt werden (§6 Absatz 1 
Satz 2). Jährlich hat die Kontrollstelle den zuständigen 
Behörden ein Verzeichnis der nichtöffentlichen Stellen, die 
am 31. Dezember des Vorjahres ihrer Kontrolle unterstan- 
den und bis zum 31. März jedes Jahres einen Bericht über 
ihre Tätigkeit im Vorjahr vorzulegen (§ 6 Absatz 2). Die 
Kontrollstellen erteilen einander die für eine ordnungsge- 
mäße Durchführung dieses Gesetzes notwendigen Aus- 
künfte (§ 6 Absatz 3 Satz 1). Stellt eine Kontrollstelle Un- 
regelmäßigkeiten oder Verstöße fest, unterrichtet sie unver- 
züglich die zuständige Behörde (§ 6 Absatz 3 Satz 2). 
Soweit eine Kontrollstelle im Rahmen der von ihr durchge- 
führten Kontrollen Tatsachen feststellt, die einen hinrei- 
chenden Verdacht auf Verstöße der in Satz 2 genannten Art 
begründen, der eine nicht von der Kontrollstelle kontrol- 
lierte nichtöffentliche Stelle betrifft, teilt die Kontrollstelle 
die Tatsachen unverzüglich der Kontrollstelle mit, deren 
Kontrolle die betroffene nichtöffentliche Stelle untersteht 
(§ 6 Absatz 3 Satz 3). Die Kontrollstelle unterrichtet die von 
ihr kontrollierten nichtöffentlichen Stellen, die zuständigen 
Behörden sowie den Bundesbeauftragten für den Daten- 
schutz und die Informationsfreiheit, bevor sie ihre Tätigkeit 
einstellt, oder im Falle eines Antrags auf Eröffnung des 
Insolvenzverfahrens (§ 6 Absatz 4 Satz 1). Die nichtöffent- 
lichen Stellen sowie die Kontrollstellen haben den zuständi- 
gen Behörden auf Verlangen Auskünfte zu erteilen (§ 8 
Absatz 1). Auf ihr Aussageverweigerungsrecht sind sie hin- 
zuweisen (§ 8 Absatz 4 Satz 2). Vor der erstmaligen Ver- 
wendung des Datenschutzauditsiegels ist das Datenschutz- 
konzept oder die informationstechnische Einrichtung dem 
Bundesbeauftragten für den Datenschutz und die Informa- 
tionsfreiheit anzuzeigen (§ 9 Absatz 1 Satz 1). 

Die Summe der zu erwartenden Belastungen für die Wirt- 
schaft beträgt insgesamt 10,14 Mio. Euro. 

Die für die Wirtschaft entstehenden Kosten sind hinnehm- 
bar, weil das Datenschutzaudit freiwillig ist und es die Un- 
ternehmen daher von einer Wirtschaftlichkeitsbetrachtung 
abhängig machen können, ob sie sich einem Audit mit den 
damit ggf. einhergehenden Bürokratiekosten unterziehen. 


Sofern ein Unternehmen sich entscheidet, als Kontrollstelle 
Kontrollen durchzuführen, erfolgt dies gegen angemessene 
Vergütung. Die durch die Benennung der Vertreter für den 
Datenschutzauditausschuss und das Erzielen eines Einver- 
nehmens über deren Person verursachten Kosten fallen nicht 
ins Gewicht und werden durch die Mitwirkung an der Er- 
arbeitung des Prüfmaßstabs des Datenschutzauditverfahrens 
aufgewogen. 

2. Bürokratiebelastungen für die Bürgerinnen und Bürger 

Für die Bürgerinnen und Bürger wird keine Informations- 
pflicht neu eingeführt, geändert oder abgeschafift. 

3 . Bürokratiebelastungen für die Verwaltung 

Für die Verwaltung werden zwölf Informationspflichten neu 
eingeführt und keine Informationspflichten geändert oder 
abgeschafft. 

Diese Informationspflichten sind im Einzelnen: 


§ 7 Absatz 1 Satz 2 
Datenschutzaudit- 
gesetz 

Auskunftserteilung der zuständigen 
Behörden untereinander 

§ 7 Absatz 1 Satz 3 
Nummer 1 Daten- 
schutzauditgesetz 

Mitteilungspflicht der zuständigen 
Behörde zur Anregung der Ent- 
ziehung der Zulassung oder Ände- 
rung von Auflagen an den Bundes- 
beauftragten für den Datenschutz 
und die Informationsfreiheit 

§ 7 Absatz 1 Satz 3 
Nummer 2 Daten- 
schutzauditgesetz 

Mitteilungspflicht an die zuständige 
Behörde des Landes 

§ 7 Absatz 1 Satz 4 
Datenschutzaudit- 
gesetz 

Mitteilungspflicht der zuständigen 
Behörde zur Anregung eines Verfah- 
rens der Entziehung der Zulassung 
oder Änderung von Auflagen an den 
Bundesbeauftragten für den Daten- 
schutz und die Informationsfreiheit 

§ 8 Absatz 4 Satz 2 
Datenschutzaudit- 
gesetz 

Hinweispflicht gegenüber dem Aus- 
kunftspflichtigen 

§ 9 Absatz 1 Satz 2 
Datenschutzaudit- 
gesetz 

Führung eines Verzeichnisses für 
Datenschutzkonzepte durch den 
Bundesbeauftragten für den Daten- 
schutz und die Infonnationsfreiheit 

§ 9 Absatz 1 Satz 2 
Datenschutzaudit- 
gesetz 

Veröffentlichungspflicht im Internet 
und im elektronischen Bundes- 
anzeiger 

§ 9 Absatz 2 Satz 1 
Datenschutzaudit- 
gesetz 

Führung eines Verzeichnisses der 
zugelassenen Kontrollstellen 

§ 9 Absatz 2 Satz 1 
Datenschutzaudit- 
gesetz 

Veröffentlichungspflicht im Internet 
und im elektronischen Bundes- 
anzeiger 

§ 1 1 Absatz 1 

Satz 3 Daten- 
schutzauditgesetz 

Veröffentlichungspflicht der maß- 
geblichen Richtlinien im Internet und 
im elektronischen Bundesanzeiger 

§ 1 5 Absatz 2 

Satz 3 Daten- 
schutzauditgesetz 

Berichtspflicht an die Aufsichts- 
behörde 

§ 1 5 Absatz 3 

Satz 1 Daten- 
schutzauditgesetz 

Pflicht der Genehmigung durch die 
Aufsichtsbehörde 
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Die Informationspflichten für die Verwaltung sind für die 
sinnvolle Gestaltung des Datenschutzauditverfahrens uner- 
lässlich. Sie sind auch hinnehmbar, weil die Stärkung des 
Datenschutzes und die Förderung der Wirtschaft, die das Ge- 
setz bewirkt, den nachteiligen Effekt der Bürokratiekosten 
überwiegen. 

VII. Auswirkungen von gleichstellungspolitischer 
Bedeutung 

Auswirkungen von gleichstellungspolitischer Bedeutung 
sind nicht zu erwarten. 

B. Besonderer Teil 

Zu Artikel 1 

Zu § 1 (Datenschutzaudit) 

Die Durchführung des Datenschutzaudits ist freiwillig. 
Durch das Wort „können“ wird dies ausgedrückt. Es obliegt 
jedem Unternehmen zu entscheiden, ob den mit der Durch- 
führung des Datenschutzaudits verbundenen Kosten und 
Mühen ein adäquater wirtschaftlicher Mehrwert aus der Ver- 
wendung des Datenschutzauditsiegels im Rechts- und Ge- 
schäftsverkehr gegenübersteht. 

Adressat des Datenschutzaudits sind Anbieter von Datenver- 
arbeitungsanlagen und -Programmen für die von ihnen ange- 
botenen Datenverarbeitungsanlagen und -programme und 
verantwortliche Stellen nach § 3 Absatz 7 des Bundesdaten- 
schutzgesetzes hinsichtlich ihrer Datenschutzkonzepte. An- 
bieter stellen anderen, auch unentgeltlich, eine Datenverar- 
beitungsanlage oder ein Datenverarbeitungsprogramm oder 
beides zur Verfügung, sei es als Hersteller oder in anderer 
Form am Vermarktungsprozess Beteiligter. Datenverarbei- 
tungsanlage (Hardware) und Datenverarbeitungsprogramm 
(Software) bilden zusammen ein Datenverarbeitungssystem. 
Sie sind gesondert aufgeführt, um zu verdeutlichen, dass 
auch nur eine Datenverarbeitungsanlage oder nur ein Daten- 
verarbeitungsprogramm Auditgegenstand sein kaim. Eine 
Datenverarbeitungsanlage ist ein Gerät oder eine Baueinheit 
zur Verarbeitung von Daten. Der Begriff findet sich bereits 
verschiedentlich im Bundesdatenschutzgesetz, z. B. in § 1 
Absatz 2 Nummer 3, §3 Absatz 2 Satz 1, § 11 Absatz 5, 
§ 14 Absatz 4, § 18 Absatz 2 Satz 1, § 27 Absatz 1 Satz 1, 
§ 3 1 und Nummer 1 der Anlage zu § 9 Satz 1 und anderen 
Bundesgesetzen, z. B. in § 9 Absatz 1 Satz 2 des Antiterror- 
dateiengesetzes, § 9 Absatz 2 Satz 2 1 des Ausländerzentral- 
registergesetzes oder § 1 1 Absatz 6 Satz 2 des Bundeskri- 
minalamtsgesetzes. Datenverarbeitungsprogramme steuern 
die automatisierte Verarbeitung personenbezogener Daten. 
Auch dieser Begriff findet sich neben § 9a bereits verschie- 
dentlich im Bundesdatenschutzgesetz, z. B. in § 4g Absatz 1 
Satz 4 Nummer 1, § 24 Absatz 4 Satz 2 Nummer 1 und § 38 
Absatz 4 Satz 2 sowie in anderen Bundesgesetzen, z. B. in 
§ 4 Absatz 2 Nummer 3 des Außenwirtschaftsgesetzes (der 
das Synonym „Software“ verwendet). 

Einem Datenschutzaudit können sich Anbieter von Daten- 
verarbeitungsanlagen und -Programmen und verantwort- 
liche Stellen unterziehen, sofern sie „nichtöffentliche Stelle 
im Sirme des § 2 Absatz 4 des Bundesdatenschutzgesetzes 
sind“. Die Einschränkung bezieht sich sowohl auf die An- 


bieter von Datenverarbeitungsanlagen und -programmen als 
auch auf die verantwortlichen Stellen. Ohne die Eingren- 
zung kämen auch öffentliche Stellen in Frage, die unter- 
einander nicht im Wettbewerb stehen und bei denen die 
Bürgerirmen und Bürger nur in den seltensten Fällen ein 
Wahlrecht hätten, eine auditierte gegenüber einer nicht 
auditierten Stelle zu bevorzugen. Das Ziel, mit einem bun- 
desweiten, gesetzlichen Datenschutzaudit wirtschaftliche 
Anreize zur Verbesserung des Datenschutzes und der Daten- 
sicherheit anzubieten, um hiermit nach außen im Wettbe- 
werb zu werben und sich einen Marktvorteil zu verschaffen, 
würde insoweit verfehlt. Soweit eine öffentliche Stelle 
andere Zwecke verfolgt, etwa eine erhöhte Akzeptanz der 
Bürgerinnen und Bürger bei der Inanspruchnahme einer 
E-Govemment-Anwendung, wird dies bereits ausreichend 
dadurch gewährleistet, dass mit einem Datenschutzauditsie- 
gel gekennzeichnete Datenschutzkonzepte und informa- 
tionstechnische Einrichtungen eingesetzt werden können. 
Darüber hinaus bestehen Umsetzungsschwierigkeiten, da 
vorliegend nur Regelungen für öffentliche Stellen des Bun- 
des getroffen werden könnten. Ausreichend ist daher, dass 
es weiterhin für öffentliche Stellen möglich bleibt, auf Lan- 
desebene ein Datenschutzaudit einzuführen, wie es z. B. in 
der Freien Hansestadt Bremen oder Schleswig-Holstein ge- 
schehen ist. 

Gegenstand der Prüfung und Bewertung können Daten- 
schutzkonzepte sowie informationstechnische Einrichtun- 
gen sein. Ein Datenschutzkonzept ist eine geordnete Darstel- 
lung, auf welche Weise die Anforderungen des Datenschut- 
zes und der Datensicherheit erfüllt werden. Bezugspunkt für 
ein Datenschutzkonzept ist entweder eine verantwortliche 
Stelle oder ein abgrenzbarer Teilbereich hiervon (z. B. die 
IT-Abteilung, die Personalabteilung, das Archiv). Bezugs- 
punkt kann auch ein Verfahren automatisierter Verarbeitung 
oder ein abgrenzbarer Teilbereich hiervon sein. Bestandteil 
des Datenschutzkonzepts sind insbesondere der Inhalt der 
Meldepflicht nach § 4e Satz 1 des Bundesdatenschutzgeset- 
zes, gegebenenfalls die Nennung des Beauftragten für den 
Datenschutz sowie Angaben zu den verwendeten informa- 
tionstechnischen Einrichtungen. Bestandteil der Darstellung 
sind die getroffenen bzw. geplanten technischen und organi- 
satorischen Maßnahmen nach § 9 des Bundesdatenschutzge- 
setzes, die nach der Anlage zu § 9 Satz 1 des Bundesdaten- 
schutzgesetzes auch die Ausgestaltung der innerbetrieb- 
lichen Organisation umfassen. Bestandteil ist auch ein 
Sicherheitskonzept, das eine Analyse der bestehenden Risi- 
ken enthält, eine Schutzzweckbeschreibung, die Beschrei- 
bung der Maßnahmen zur technischen und organisatorischen 
Sicherheit und die verbleibenden Risiken. Eine infonnati- 
onstechnische Einrichtung ist eine Hardware oder Software, 
mit der eine verantwortliche Stelle die personenbezogenen 
Daten automatisiert verarbeitet. 

Die Unternehmen können den Gegenstand des Audits selbst 
bestimmen und z. B. auf abgrenzbare Teilbereiche beschrän- 
ken. Nicht nur die Durchführung des Audits überhaupt, son- 
dern auch sein Umfang unterliegen auch wegen der damit 
verbundenen Kosten-Nutzen-Abwägung der Dispositions- 
freiheit der Unternehmen. Die Überprüfung eines gesamten 
Unternehmens im Rahmen eines Datenschutzaudits wird in 
aller Regel eine zu große Komplexität für eine Kontrolle auf- 
weisen und ist allenfalls bei sehr kleinen Unternehmen vor- 
stellbar, bei denen personenbezogene Daten nur zu einem 
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Zweck oder wenigen klar umrissenen Zwecken durch ein 
einziges oder wenige einfach aufgebaute automatisierte Ver- 
fahren erhoben und verwendet werden. 

Satz 2 verdeutlicht in Verbindung mit den § § 3 und 1 1 die 
Voraussetzungen, unter denen ein Datenschutzkonzept oder 
eine infomiationstechnische Einrichtung mit einem Daten- 
schutzauditsiegel gekennzeichnet werden darf. 

Nach Nummer 1 sind die Vorschriften zum Schutz perso- 
nenbezogener Daten bei der Datenverarbeitung einzuhalten, 
für die das Datenschutzkonzept oder die informationstech- 
nische Einrichtung vorgesehen ist. Grundlage für die Ver- 
wendung ist also, dass die Datenverarbeitung, die Gegen- 
stand des Datenschutzkonzepts oder der informationstech- 
nischen Einrichtung ist, vor Ort gesetzeskonform und im 
Einklang mit den Vorgaben der europäischen Datenschutz- 
richtlinie 95/46/EG betrieben wird. Andernfalls darf auch 
bei formaler Erfüllung der Richtlinien zur Verbesserung des 
Datenschutzes und der Datensicherheit nach Nummer 2 kein 
Datenschutzauditsiegel verwendet werden. Die Einhaltung 
der Vorschriften über den Datenschutz ist - vorbehaltlich 
der Nummer 3 - auf die Datenverarbeitung des Auditgegen- 
stands beschränkt und nicht auf das Unternehmen als Adres- 
saten des Audits insgesamt. Für die Kontrollstelle wäre es in 
aller Regel praktisch nicht umsetzbar, das Unternehmen als 
Ganzes auf die Einhaltung der Vorschriften über den Daten- 
schutz zu überprüfen. Dies wäre unter Umständen auch 
nicht angemessen, wenn das Unternehmen lediglich für ein 
auf eine einzelne Datenverarbeitung bezogenes Daten- 
schutzkonzept oder bezogene informationstechnische Ein- 
richtung ein Datenschutzauditsiegel begehrt. Der Begriff der 
„Datenverarbeitung“ meint nicht den Begriff der „Verarbei- 
tung“ nach § 3 Absatz 4 des Bundesdatenschutzgesetzes, da 
auch die Erhebung oder Nutzung personenbezogener Daten 
Gegenstand des Auditgegenstandes sein kann. 

Nach Nummer 2 muss der Auditgegenstand die vom Daten- 
schutzauditausschuss beschlossenen und veröffentlichten 
Richtlinien zur Verbesserung des Datenschutzes und der 
Datensicherheit nach § 11 Absatz 1 erfüllen. Ein Daten- 
schutzauditsiegel, das bereits für die Einhaltung der Vor- 
schriften über den Schutz personenbezogener Daten 
(Gesetzeskonformität) erlangt werden kann, birgt verschie- 
dene Probleme. Die Einhaltung der geltenden Gesetze wird 
von jedem Unternehmen erwartet und bedarf daher keiner 
Auszeichnung. Ein solches Datenschutzauditsiegel hätte für 
die Unternehmen auch keinen marktwirtschaftlichen Mehr- 
wert gegenüber Wettbewerbern. Auf die Verbraucherinnen 
und Verbraucher hätte es im Gegenteil eine missverständ- 
liche Wirkung, da diese hinter einer staatlichen Auszeich- 
nung eine überdurchschnittliche Leistung vermuten. Die 
Einhaltung der datenschutzrechtlichen Vorschriften bei den 
Unternehmen wird zudem bereits durch den Beauftragten für 
den Datenschutz nach § 4f Absatz 1 Satz 1 des Bundesdaten- 
schutzgesetzes und die Aufsichtsbehörden nach § 38 des 
Bundesdatenschutzgesetzes kontrolliert. Ein auf die Geset- 
zeskonformität beschränktes Datenschutzauditsiegel liefe 
damit Gefahr, die bestehenden Kontrollen zu entwerten oder 
zumindest eine Verfahrensdoppelung herbeizuführen. Es be- 
stünde zudem die Gefahr, dass die Freiwilligkeit des Audit- 
verfahrens in einen faktischen Zwang umschlägt, weil ein 
Unternehmen ohne ein Datenschutzauditsiegel für die Ein- 
haltung der Gesetze den Rückschluss auf die Nichteinhal- 


tung der Gesetze erlaubt. Ein Datenschutzkonzept oder eine 
informationstechnische Einrichtung muss nicht alle durch 
den Datenschutzauditausschuss erlassenen Richtlinien zur 
Verbesserung des Datenschutzes und der Datensicherheit er- 
füllen, sondern nur die für dieses Datenschutzkonzept oder 
diese informationstechnische Einrichtung geltenden. Sofern 
Richtlinien branchen- oder situationsspezifisch ausgerichtet 
sind, z. B. für den Bereich der Telekommunikationsunter- 
nehmen oder beschränkt auf Vorgaben der Protokollierung, 
finden sie keine Anwendung außerhalb dieses Bereichs oder 
sofern eine Protokollierung nicht erfolgt. 

Nach Nummer 3 ist Voraussetzung für die Kennzeichnung 
mit einem Datenschutzauditsiegel, dass Anbieter im Inland 
die Vorschriften des Bundesdatenschutzgesetzes über die 
organisatorische Stellung des Beauftragten für den Daten- 
schutz einhalten. Hierzu gehört insbesondere § 4f Absatz 3 
und 5 des Bundesdatenschutzgesetzes. Nicht hierzu gehören 
die Vorschriften über seine fachliche Eignung; für das Be- 
rufsbild des Beauftragten für den Datenschutz bestehen der- 
zeit noch keine tauglichen Kriterien. Zwar muss ein Unter- 
nehmen, um ein Datenschutzauditsiegel zu verwenden, nicht 
nachweisen und ständig kontrollieren lassen, dass es insge- 
samt die Vorschriften über den Datenschutz einhält. Diese 
Aufgabe obliegt innerbetrieblich nach § 4g Absatz 1 Satz 1 
des Bundesdatenschutzgesetzes dem Beauftragten für den 
Datenschutz. Dieser kann seiner Aufgabe jedoch nur nach- 
kommen und nach § 3 Satz 2 in die Durchführung des Kon- 
trollverfahrens einbezogen werden, sofern seine organisato- 
rische Stellung gesetzeskonform ausgestaltet ist und er z. B. 
die zur Erfüllung seiner Aufgaben erforderlichen Räume, 
Einrichtungen und Geräte zur Verfügung hat. Die Vorausset- 
zungen für die Bestellung eines Beauftragten für den Daten- 
schutz nach dem Bundesdatenschutzgesetz bleiben durch die 
Regelung unberührt. Die Regelung führt nicht zu einer ab- 
weichenden Verpflichtung zur Bestellung bei Durchführung 
eines Datenschutzaudits. 

Nach Nummer 4 ist Voraussetzung für die Kennzeichnung 
mit einem Datenschutzauditsiegel, dass die Nummern 1 bis 3 
nach § 3 kontrolliert werden. Damit wird dem Umstand 
Rechnung getragen, dass Auditgegenstand sehr unterschied- 
liche und kurzlebige Verfahren und Produkte vor allem aus 
der dynamischen Informations- und Kommunikations- 
branche sein werden. Die Vergabe eines Datenschutzaudit- 
siegels aufgrund einer einmaligen Überprüfung läuft inso- 
weit Gefahr, bereits kurze Zeit nach Abschluss des 
Verfahrens überholt zu sein. Normenklare Kriterien, wann 
und in welcher Intensität unter diesen Umständen ein erneu- 
tes Verfahren durchzuführen ist, lassen sich nur schwer be- 
stimmen. Ein wiederholtes Verfahren mit Prüfüngen nähert 
sich in tatsächlicher Hinsicht einem regelmäßigen Kontroll- 
verfahren an. Dieses bietet mehr Flexibilität für die Durch- 
führung der Kontrollen durch die Kontrollstellen und durch 
die Einbeziehung in das Kontrollsystem mehr Rechtssicher- 
heit für das Unternehmen bei der Verwendung des Daten- 
schutzauditsiegels. Für das Kontrollverfahren wird auf die 
Ausführungen zu § 3 verwiesen. 

Soweit öffentliche Stellen als öffentlich-rechtliche Unter- 
nehmen am Wettbewerb teilnehmen, finden auf sie nach § 27 
Absatz 1 Satz 1 Nummer 2 des Bundesdatenschutzgesetzes 
dieselben Vorschriften Anwendung wie auf nichtöffentliche 
Stellen. Sie sind diesen gleichgestellt. Im Wettbewerb mit 
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nichtöffentlichen Stellen soll ihnen kein Nachteil durch die 
strengeren Regelungen für öffentliche Stellen entstehen. Aus 
dieser wettbewerbsbedingten Gleichstellung folgt, dass auch 
öffentlich-rechtlichen Wettbewerbsuntemehmen die Mög- 
lichkeit eröffnet werden muss, sich durch ein Daten- 
schutzauditsiegel einen werbewirksamen Marktvorteil ge- 
genüber seinen nichtöffentlichen Konkurrenten zu verschaf- 
fen. 

Zu § 2 (Zuständigkeit) 

Zu Absatz 1 

Die Regelung der Behördenzuständigkeit bleibt hier grund- 
sätzlich - soweit nichts anderes bestimmt wird - den Län- 
dern überlassen. Das Verfahren der Kontrolle soll mit § 3 in 
weitem Umfang zugelassenen privaten Kontrollstellen über- 
tragen werden. Zu weiteren Einzelheiten wird auf die Aus- 
führungen zu § 3 verwiesen. Satz 2 dient der Anpassung der 
Zuständigkeitsverteilung an die spezialgesetzliche Regelung 
in § 115 Absatz 4 des Telekommunikationsgesetzes und § 42 
Absatz 3 des Postgesetzes. Danach ist der Bundesbeauftrag- 
te für den Datenschutz und die Informationsfreiheit zustän- 
dige Aufsichtsbehörde für den Datenschutz, soweit für die 
geschäftsmäßige Erbringung von Post- oder Telekommuni- 
kationsdiensten Daten zu natürlichen oder juristischen Per- 
sonen erhoben oder verwendet werden. 

Zu Absatz 2 

Mit Absatz 2 werden bestimmte Aufgaben beim Bundesbe- 
auftragten für den Datenschutz und die Infonnationsfreiheit 
gebündelt. Eine Vielzahl von Unternehmen, für die das Da- 
tenschutzaudit interessant ist, haben Niederlassungen in ver- 
schiedenen Ländern und sind interessiert, sich nur von einer 
Kontrollstelle kontrollieren zu lassen. Auch die Kontrollstel- 
len haben ein Interesse an einer länderübergreifenden Tätig- 
keit. Dafür ist eine grundsätzlich bundesweit geltende Zulas- 
sung erforderlich, die mit dem Ziel eines effizienten 
Verfahrens nur von einer zentralen, mit alleiniger Entschei- 
dungskompetenz ausgestatteten Stelle erteilt werden kann. 
Das Zulassungsverfahren und die Entscheidung über die 
Entziehung der Zulassung einer Kontrollstelle sollen durch 
den Bundesbeauftragten für den Datenschutz und die Infor- 
mationsfreiheit wahrgenommen werden. Folgerichtig ist 
auch die Zuständigkeit für die Vergabe einer Kennnummer 
an die zugelassenen Kontrollstellen dem Bundesbeauftrag- 
ten für den Datenschutz und die Informationsfreiheit zuzu- 
weisen. Zu Einzelheiten des Verfahrens der Zulassung und 
der Entziehung der Zulassung wird auf die Ausführungen zu 
§ 4 Absatz 1 und 4 verwiesen. 

Zu § 3 (Kontrollen) 

Nachdem in § 2 Absatz 1 Satz 1 und 2 die Zuständigkeit der 
Länder und des Bundesbeauftragten für den Datenschutz 
und die Informationsfreiheit für die Durchführung des Ge- 
setzes klargestellt ist, soll Satz 1 dem Bestreben nach einer 
möglichst weitgehenden Aufgabenerledigung durch Private 
Rechnung tragen, ohne besonders einschneidende hoheit- 
liche Entscheidungen aus dem behördlichen Aufgabenbe- 
reich auszugliedem. Vom behördlichen Aufgabenbereich er- 
fasst sind insbesondere die Maßnahmen nach § 7 Absatz 2, 
mit denen die zuständigen Behörden sicherstellen, dass bei 
Unregelmäßigkeiten oder Verstößen keine Kennzeichnung 


mit dem Datenschutzauditsiegel erfolgt. Mit dieser Ausge- 
staltung soll das in Deutschland und der überwiegenden Zahl 
der Mitgliedstaaten der Europäischen Union seit längerem 
praktizierte und funktionierende System auf dem Gebiet des 
ökologischen Landbaus für den Bereich des Datenschutzes 
nutzbar gemacht werden. 

Nach Satz 2 ist der Beauftragte für den Datenschutz gemäß 
§ 4f Absatz 1 Satz 1 des Bundesdatenschutzgesetzes in die 
Durchführung der Kontrollen einzubeziehen. Damit soll sei- 
ner zentralen Rolle irmerhalb des Unternehmens bei der Ein- 
haltung des Bundesdatenschutzgesetzes und anderer Vor- 
schriften über den Datenschutz, insbesondere im Rahmen 
der Vorabkontrolle Rechnung getragen werden. Die Einbe- 
ziehung des Beauftragten für den Datenschutz in die Durch- 
führung von Kontrollen durch untemehmensexteme Stellen 
sollte vor dem Hintergrund seiner gesetzlichen Aufgaben 
und sachlichen Kompetenz selbstverständlich sein. Die Re- 
gelung hat daher vorwiegend klarstellenden Charakter. Der 
Beauftragte für den Datenschutz wird bereits jetzt bei Kon- 
trollen der Aufsichtsbehörden einbezogen. Wie dort umfasst 
die Einbeziehung etwa die Vorbereitung und Koordination 
der zur Durchführung der Kontrollen notwendigen Arbeits- 
schritte, von der Bestandsaufnahme über die Aufbereitung 
der erforderlichen Unterlagen und Vermittlung von An- 
sprechpartnem im Betrieb bis hin zur Begleitung der Besei- 
tigung von festgestellten Mängeln. Die Einbeziehung in die 
Durchführung der Kontrollen verdeutlicht, dass der Be- 
auftragte für den Datenschutz nicht selbst, etwa seine Eig- 
nung, Gegenstand der Kontrolle ist. Satz 2 lässt im Übrigen 
die Regelungen zur Bestellung eines Beauftragten für den 
Datenschutz nach dem Bundesdatenschutzgesetz unberührt 
und führt nicht zu einer abweichenden Verpflichtung zur Be- 
stellung bei Durchführung eines Datenschutzaudits. 

Das Verfahren der Kontrolle muss die in der Verordnung 
nach § 16 Absatz 3 Nummer 3 näher auszuführenden Min- 
destkontrollanforderungen und im Rahmen des Kontrollver- 
fahrens vorgesehenen Vorkehrungen erfüllen. Dabei ist der 
dort vorzusehende Kontrollrahmen mit Rücksicht auf die 
konkreten Bedingungen im Zusammenspiel von Kontroll- 
stelle und kontrollierter Stelle zu spezifizieren. Die Art und 
Häufigkeit der Kontrollen sollen sich nach Satz 3 nach dem 
Risiko des Auftretens von Verstößen gegen dieses Gesetz, 
die auf Grund dieses Gesetzes erlassenen Rechtsverordnun- 
gen und die für den Auditgegenstand geltenden Richtlinien 
zur Verbesserung des Datenschutzes und der Datensicherheit 
nach § 1 1 Absatz 1 bestimmen. 

Die Sätze 4 und 5 legen neben der risikobasierten Häufigkeit 
der Kontrollen die Mindesthäufigkeit der Kontrollen fest. Je- 
des in das Kontrollsystem einbezogene Unternehmen soll 
nach der Anzeige der Verwendung des Datenschutzaudit- 
siegels an den Beauftragten für den Datenschutz und die In- 
formationsfreiheit nach § 9 Absatz 1 Satz 1, sobald es der 
ordnungsgemäße Geschäftsbetrieb der Kontrollstelle er- 
laubt, einer ersten Kontrolle und vor Ablauf von zwölf 
Monaten nach dem Abschluss dieser Erstkontrolle einer wei- 
teren, zweiten Kontrolle unterzogen werden. Im Anschluss 
an die zweite Kontrolle ist es aufgrund der dann vorhande- 
nen Kenntnisse über das Datenschutzkonzept oder die infor- 
mationstechnische Einrichtung gerechtfertigt, die Mindest- 
häufigkeit der Kontrollen auf 18 Monate auszudehnen, 
zumal die Möglichkeit, zusätzliche Kontrollen vorzuneh- 
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men, z. B. wenn Verstöße aufgetreten sind, unberührt bleibt. 
Die Mindesthäufigkeit der Kontrollen soll nach drei Jahren 
mit Blick auf Auswirkungen und Effektivität evaluiert wer- 
den. 

Die auf Grundlage des Bundesdatenschutzgesetzes und der 
Datenschutzgesetze der Länder durchgeführten Kontrollen 
bleiben unberührt. 

Zu § 4 (Zulassung der Kontrollstelle und Entziehung der 
Zulassung) 

Zu Absatz 1 

Werden wesentliche Teile des Kontrollverfahrens auf Private 
übertragen, muss die Zulassung der Privaten vorgeschrieben 
sein, um die ordnungsgemäße Aufgabenerledigung durch 
diese sicherzustellen und zu gewährleisten, dass die an sie 
gestellten Anforderungen erfüllt werden. Die Kontrollstellen 
bilden den Kern des Kontrollsystems. Von der Qualität ihrer 
Tätigkeit hängen die Zuverlässigkeit sowie die Funktion des 
gesamten Kontrollverfahrens und damit das Niveau der 
Auditierung maßgeblich ab. Diesen Erfordernissen trägt § 4 
Absatz 1 Rechnung. Nach Satz 1 Nummer 1 sind Kontroll- 
stellen zuzulassen, wenn ihr Leitungspersonal und die für 
Kontrollen verantwortlichen Beschäftigten über die erfor- 
derliche persönliche Zuverlässigkeit, Unabhängigkeit und 
fachliche Eignung verfügen, die näher in § 5 aufgeführt ist. 
Nach Satz 1 Nummer 2 muss die Kontrollstelle in organisa- 
torischer Hinsicht akkreditiert sein, wie in anderen Berei- 
chen bereits praktiziert. Als angemessene und anerkarmte 
Akkreditierungsgrundlage kommt für Datenschutzkonzepte 
z. B. die ISO/IEC 17021:2006 (Anforderungen an Stellen, 
die Managementsysteme auditieren und zertifizieren) oder 
für den Bereich der informationstechnischen Einrichtungen 
z. B. die DIN EN 45011 (Allgemeine Anforderungen an 
Stellen, die Produktzertifizierungssysteme betreiben) oder 
die ISO/IEC 17025:2005 (Allgemeine Anforderungen an die 
Kompetenz von Prüf- und Kalibrierlaboratorien) in Frage. 
Näheres regelt die nach § 16 Absatz 3 Nummer 2 zu erlas- 
sende Rechtsverordnung. Nach Satz 1 Nummer 3 und 4 wird 
neben der Entrichtung der für die Zulassung erhobenen Ge- 
bühren das Unterhalten des Sitzes oder einer Niederlassung 
im Bundesgebiet zur Bedingung für die Zulassung gemacht. 
Nur unter dieser Bedingung lässt sich die Aufsicht über die 
Kontrollstellen, die den zuständigen Behörden im Einzelnen 
auferlegt ist, zuverlässig und wirksam sicherstellen. 

Nach Satz 2 wird der Kontrollstelle mit der Zulassung eine 
Kennnummer zugeteilt, über die ein mit einem Daten- 
schutzauditsiegel gekennzeichnetes Datenschutzkonzept 
oder eine informationstechnische Einrichtung auf die Kon- 
trolle einer bestimmten Kontrollstelle zurückgeführt werden 
kann. 

Zu Absatz 2 

Absatz 2 Satz 1 regelt die mit der zentralen Zulassung durch 
den Bundesbeauftragten für den Datenschutz und die Infor- 
mationsfreiheit eröffnete Möglichkeit, eine bundesweite Zu- 
lassung zu erteilen. Satz 2 reduziert Verwaltungsaufwand bei 
solchen Kontrollstellen, die nur in einem beschränkten Ge- 
biet tätig sein wollen. Die Kontrollstellen unterliegen dann in 
Ländern, in denen sie nicht zugelassen sind, auch nicht dem 
Kontrahierungszwang nach § 6 Absatz 1 . 


Zu Absatz 3 

Verfahren im Hinblick auf den Entzug der Zulassung einer 
unzuverlässig arbeitenden Kontrollstelle können einen er- 
heblichen Zeitraum in Anspruch nehmen. In dieser Zeit ist 
die Kontrollstelle in der Regel weiterhin tätig und stellt ein 
Risikoelement für die Integrität des Kontrollsystems und die 
Aussagekraft des Datenschutzauditsiegels dar. Damit die zu- 
ständigen Behörden im Bedarfsfall schnell und effektiv ein- 
greifen können, bieten Befristungen, Bedingungen, Auf- 
lagen und Widerrufsvorbehalte die Möglichkeit, entspre- 
chende Vorkehrungen zu treffen, um dem entgegenzuwirken 
und die Belange des Datenschutzes sicherzustellen. Durch 
die Wörter „soweit die Funktionsfähigkeit des Kontrollsys- 
tems“ dies erfordert, soll auch der landesrechtlichen Mög- 
lichkeit zur Beleihung oder Mitwirkung durch eine Neben- 
bestimmung bei der Zulassung der Kontrollstelle Rechnung 
getragen werden. Eine Zulassung, mit der die Befähigung 
einer Kontrollstelle zur Wahrnehmung der Kontrollaufgaben 
festgestellt wird, kann ihre Wirkungen nur unter der Bedin- 
gung entfalten, dass die Aufgabenübertragung in dem betref- 
fenden Land erfolgt. Die Bereitschaft einer Kontrollstelle, 
sich den Landesbestimmungen zur Beleihung oder Mitwir- 
kung zu unterwerfen, ist Kriterium dafür, ob die Kontroll- 
stelle zu einer ordnungsgemäßen und koordinierten Durch- 
führung des Kontrollverfahrens in der Lage ist. Dem folgt 
Absatz 3, indem er der für die Zulassung der Kontrollstellen 
zuständigen Behörde, dem Bundesbeauftragten für den Da- 
tenschutz und die Informationsfreiheit, die Möglichkeit er- 
öffnet, die Zulassung mit Nebenbestimmungen zu versehen. 

Zu Absatz 4 

Ein Entzug der Zulassung ist in zwei Konstellationen zuläs- 
sig: Wenn die Kontrollstelle die Voraussetzungen nach 
Absatz 1 Satz 1 Nummer 1, 2 oder 4 für die Zulassung nicht 
mehr erfüllt und werm sie Verpflichtungen nach diesem Ge- 
setz oder einer aufgrund dieses Gesetzes erlassenen Rechts- 
verordnung in schwerwiegender Weise nicht nachkommt. 
Die Hervorhebung der Verpflichtungen nach § 6 oder § 8 
Absatz 3 erfolgt, da diese für das Kontrollsystem insgesamt 
von besonderer Bedeutung sind. Die Eingrenzung auf Ver- 
pflichtungen, denen in schwerwiegender Weise nicht nach- 
gekommen wird, soll verdeutlichen, dass nicht jede Unregel- 
mäßigkeit der Kontrollstelle die besonders schwere Sanktion 
des Entzugs der Zulassung nach sich ziehen soll, z. B. dann, 
wenn die Unregelmäßigkeit nicht verschuldet ist, erstmalig 
auftritt oder substanzielle Änderungen nach sich gezogen 
hat. 

Zu § 5 (Anforderungen an das Personal der Kontrollstelle) 

Die Vorschrift regelt im Einzelnen die Anforderungen an 
Kontrollstellen zum Nachweis der nach § 4 Absatz 1 
Nummer 1 geforderten erforderlichen Zuverlässigkeit, Un- 
abhängigkeit und fachlichen Eignung. Sie orientiert sich an 
den Regelungen der §§ 5 bis 7 des Uruweltauditgesetzes zu 
der von Umweltgutachtem geforderten Zuverlässigkeit, Un- 
abhängigkeit und Fachkunde und der von Beauftragten für 
den Datenschutz nach § 4f Absatz 1 Satz 1 geforderten Zu- 
verlässigkeit und erforderlichen Fachkunde sowie vergleich- 
baren Landesregelungen. Die Anforderungen werden an das 
Leitungspersonal der Kontrollstelle und die für Kontrollen 
verantwortlichen Beschäftigen gestellt. Eine Beschränkung 
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allein auf das Leitungspersonal birgt die Gefahr, dass die 
konkret für die Kontrolle verantwortlichen Beschäftigten, 
z. B. mangels fachlicher Eignung, die Erfüllung der Richt- 
linien zur Verbesserung des Datenschutzes und der Daten- 
sicherheit nicht überprüfen oder bestätigen können. Eine Er- 
streckung der Anforderungen auf weitere Beschäftigte, die 
keine Verantwortung für die Kontrollen tragen, ist nicht er- 
forderlich und angemessen. 

Zu § 6 (Pflichten der Kontrollstelle) 

Zu Absatz 1 

Absatz 1 Satz 1 gibt dem Unternehmen einen Anspruch 
darauf, in das Kontrollsystem einbezogen zu werden, wenn 
es die Bestimmungen des Gesetzes einhält und seinen Bei- 
trag zu den Kosten des Kontrollverfahrens entrichtet. Der 
tatsächlichen Zulassung der Kontrollstelle in dem betroffe- 
nen Land soll die Regelung nach § 4 Absatz 3 Satz 1 (soweit 
die Funktionsfähigkeit des Kontrollsystems dies erfordert) 
Rechnung tragen. Nach dieser Bestimmung kann die Zulas- 
sung auf Antrag auf einzelne Länder beschränkt oder für 
Länder, in denen eine Beleihung vorgesehen ist, unter der 
aufschiebenden Bedingung erteilt werden, dass die Belei- 
hung erfolgt. Es besteht insoweit im zweiten Fall die Mög- 
lichkeit, dass eine Kontrollstelle in bestimmten Ländern, so- 
lange die aufschiebende Bedingung nicht eintritt, nicht zur 
Durchführung von Kontrollen zugelassen ist. Diese Tatsache 
ist als Ausnahme von der Verpflichtung zu berücksichtigen. 
Weitere von der Kontrollstelle vorgebrachte Gründe für eine 
Ablehnung des Verlangens eines Unternehmens, in die Kon- 
trollen einbezogen zu werden, sollen nach Satz 2 Nummer 1 
unter den Entscheidungsvorbehalt der nach Landesrecht zu- 
ständigen Behörde gestellt werden. Der Kontrahierungs- 
zwang für die Kontrollstellen kann nur dann gelockert wer- 
den, wenn die Kontrolle durch andere Kontrollstellen 
sichergestellt ist. Diesem Erfordernis soll in Nummer 2 
Rechnung getragen werden, indem diese Sicherstellung der 
Durchführung des Kontrollverfahrens für das Unternehmen 
als Voraussetzung für die Ausnahme vom Kontrahierungs- 
zwang formuliert wird. 

Zu Absatz 2 

Die Kontrollstelle übermittelt den zuständigen Behörden 
jährlich bis zum 31. Januar ein Verzeichnis der Unterneh- 
men, die am 3 1 . Dezember des Vorjahres ihrer Kontrolle un- 
terstanden. Die Kontrollstelle legt ferner bis zum 3 1 . März 
jedes Jahres einen zusammenfassenden Bericht über die im 
Vorjahr ausgeführte Kontrolltätigkeit vor. Dabei sind insbe- 
sondere alle festgestellten Abweichungen und Verstöße so- 
wie die getroffenen Maßnahmen zu dokumentieren. 

Zu Absatz 3 

Die in Absatz 3 vorgesehene Mitteilungspflicht wird den 
Kontrollstellen auferlegt, damit das Sanktionssystem mit 
arbeitsteiliger Aufgabenwahmehmung zwischen privater 
Kontrollstelle und zuständiger Behörde funktioniert. 

Satz 1 soll die direkte und effektive Zusammenarbeit der 
Kontrollstellen zur ordnungsgemäßen Durchführung des 
Kontrollsystems sicherstellen. Die Bestimmung entbindet 
die Kontrollstellen nicht von ihrer Meldepflicht gegenüber 
den zuständigen Behörden nach Satz 2. 


Nach Satz 2 hat die Kontrollstelle über bei ihrer Tätigkeit 
festgestellte Verstöße gegen die in § 1 Satz 2 Nummer 1 
bis 3 genannten Vorschriften unverzüglich die zuständige 
Behörde zu unterrichten. Korrespondierend mit dieser aus- 
nahmslosen Unterrichtung an die zuständige Behörde ist es 
deren Ermessensentscheidung nach § 7 Absatz 2, inwieweit 
weiterhin eine Kennzeichnung erfolgen darf. Die Entschei- 
dung, wie sich ein Verstoß auswirkt, soll aufgrund der Trag- 
weite die zuständige Behörde treffen und nicht die private 
Kontrollstelle. Dies führt auch zu größerer Einheitlichkeit 
und Systemgerechtigkeit insgesamt, da es nur 16 Landesbe- 
hörden und den Bundesbeauftragten für den Datenschutz 
und die Informationsfreiheit als zuständige Behörden gibt, 
jedoch eine im Einzelnen noch nicht abzuschätzende Viel- 
zahl von Kontrollstellen. Ein eingeschränkter Informations- 
fluss zwischen zuständiger Behörde und Kontrollstelle be- 
rührt auch das System der Aufgabenübertragung. Eine 
zuständige Behörde wird im Zweifel keine Aufgaben an eine 
Kontrollstelle übertragen, wenn sie nicht vollständig infor- 
miert wird. Die Unterrichtung über Verstöße an die zuständi- 
ge Behörde dient ferner dem Aufbau von Erfahrungswissen 
über Probleme am Markt und damit der Qualitätssicherung 
der Verfahren. 

Mit Satz 3 sollen die Melde- und Informationspflichten der 
Kontrollstellen für den Fall präzisiert werden, dass sich ein 
begründeter Verdacht auf Verstöße gegenüber einem nicht 
von dieser Kontrollstelle kontrollierten Unternehmen ergibt. 
Satz 3 macht zudem deutlich, dass sich die Kontrollstelle bei 
gegebener Veranlassung auch mit der Frage zu befassen hat, 
ob die bei dem kontrollierten Unternehmen festgestellten 
Verstöße ihren Ursprung bei einem anderen Unternehmen 
haben. Dieser Frage ist immer dann nachzugehen, wenn die 
Feststellungen der Kontrollstelle eine Zuwiderhandlung bei 
einem vorgelagerten Arbeitsschritt erkennen lassen, so dass 
eine Rückverfolgung notwendig ist. Unterliegt das für den 
vorgelagerten Arbeitsschritt verantwortliche Unternehmen 
ebenfalls der Überwachung durch die Kontrollstelle, gilt der 
Satz unmittelbar. Ist das nicht der Fall, muss die Kontroll- 
stelle die nach Landesrecht zuständige Behörde für das für 
den vorgelagerten Arbeitsschritt verantwortliche Unterneh- 
men über ihre Feststellungen unterrichten. Soll ein Daten- 
schutzauditsiegel z. B. für ein Datenverarbeitungssystem 
verwendet werden, das teilweise auf Geräten oder Datenver- 
arbeitungsprogrammen mit Datenschutzauditsiegel basiert 
oder diese mit einbezieht und ergibt sich für die Kontrollstel- 
le in Bezug auf diese Geräte oder Datenverarbeitungspro- 
gramme ein begründeter Verdacht auf Verstöße, die jedoch 
Unternehmen außerhalb seiner Zuständigkeit betreffen, so 
hat die Kontrollstelle die zuständige Kontrollstelle zu unter- 
richten. Diese Pflicht muss schon bei dem begründeten, d. h. 
auf Tatsachen gestützten Verdacht eines Verstoßes eingrei- 
fen, weil die unterrichtende Kontrollstelle mangels eigener 
Zuständigkeit keine abschließende Prüfung bei dem für den 
vorgelagerten Arbeitsschritt verantwortlichen Unternehmen 
durchführen kann. 

Zu Absatz 4 

Absatz 4 enthält Vorschriften zum Schutz der kontrollunter- 
worfenen Unternehmen, denen im Fall der Einstellung der 
Tätigkeit der sie bisher kontrollierenden Stelle, auch im Falle 
einer Insolvenz, Gelegenheit gegeben werden soll, die wei- 
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tere Teilnahme am Kontrollverfahren - möglichst ohne zeit- 
liche Unterbrechung - sicherzustellen. 

Zu § 7 (Pflichten der zuständigen Behörde) 

Zu Absatz 1 

Mit Absatz 1 soll das arbeitsteilige Verfahren der Über- 
wachung der in den einzelnen Ländern tätigen Kontrollstel- 
len durch die zuständigen Behörden geregelt werden. 

Die zuständige Behörde veranlasst nach Satz 1 bei Bedarf 
Überprüfungen und Inspektionen der Kontrollstelle. Der- 
artige Überprüfungen können auch ohne Anlass erfolgen. 

Satz 2 regelt die gegenseitigen Unterrichtungs- und Aus- 
kunftspfhchten der zuständigen Behörden im Rahmen der 
Überwachung der Kontrollstellen. Die Vorschrift stellt die 
notwendige Ergänzung für eine sachgerechte und wirksame 
Überwachung im Hinblick auf die Regelung in § 2 Absatz 2 
dar, nach der die Kontrollstellen nach Zulassung durch den 
Bundesbeauftragten für den Datenschutz und die Infonna- 
tionsfreiheit grundsätzlich bundesweit tätig werden können. 
Der Entzug der Zulassung einer Kontrollstelle nach § 4 
Absatz 4 resultiert regelmäßig aus dem Überwachungsver- 
fahren, das nach Satz 1 den zuständigen Behörden der Län- 
der obliegen soll. 

Damit der Bundesbeauftragte für den Datenschutz und die 
Informationsfreiheit über den Entzug der Zulassung ent- 
scheiden kann, muss die für die Überwachung zuständige 
Landesbehörde nach der Feststellung von Verstößen einer 
Kontrollstelle, die den Entzug der Zulassung rechtfertigen, 
den Entzug der Zulassung beim Bundesbeauftragten für den 
Datenschutz und die Informationsfreiheit anregen. Dem 
wird durch die Sätze 3 und 4 Rechnung getragen. Stellt die 
zuständige Behörde für eine Kontrollstelle, die aufgrund 
ihres Sitzes ihrer Aufsicht unterliegt, Tatsachen fest, die den 
Entzug der Zulassung oder die Aufnahme oder Änderung 
von Auflagen zur Zulassung erforderlich machen können, 
hat sie unmittelbar dem Bundesbeauftragten für den Daten- 
schutz und die Informationsfreiheit diese Tatsachen mitzu- 
teilen und anzuregen, ein Verfahren zum Entzug der Zulas- 
sung oder zur Aufnahme oder Änderung von Auflagen 
einzuleiten. Beziehen sich die Tatsachen auf eine Kontroll- 
stelle, die aufgrund ihres Sitzes der Aufsicht einer anderen 
zuständigen Behörde unterliegt, hat sie dieser die Tatsachen 
mitzuteilen. Nach Satz 4 trifft dann diese andere zuständige 
Behörde die Verpflichtung zur Mitteilung an den Bundesbe- 
auftragten für den Datenschutz und die Informationsfreiheit 
und zur Anregung, ein Verfahren zum Entzug der Zulassung 
oder zur Aufnahme oder Änderung von Auflagen einzulei- 
ten. Der für den Sitz der jeweiligen Kontrollstelle zuständi- 
gen Landesbehörde wird damit eine Schlüsselrolle sowohl 
bei der Koordinierung der Überwachung als auch bei der 
Entscheidung über die Änderung von Nebenbestimmungen 
zur Zulassung oder den Entzug der Zulassung durch den 
Bundesbeauftragten für den Datenschutz und die Informa- 
tionsfreiheit zugewiesen. 

Satz 5 ist der abweichenden Zuständigkeit nach § 2 Absatz 1 
Satz 2 in Bezug auf den Bundesbeauftragten für den Daten- 
schutz und die Informationsfreiheit geschuldet, der insoweit 
die Überwachung der Kontrollstellen nach Satz 1 über- 
nimmt. 


Zu Absatz 2 

Da die aufgeführten hoheitlichen Maßnahmen erheblich in 
die Rechte der betroffenen Unternehmen eingreifen, sollen 
sie grundsätzlich den nach Landesrecht zuständigen Behör- 
den bzw. im Rahmen des § 2 Absatz 1 Satz 2 dem Bundes- 
beauftragten für den Datenschutz und die Informations- 
freiheit Vorbehalten bleiben. Dabei ist den zuständigen 
Behörden Ermessen eingeräumt, ob und in welcher Weise sie 
Vorgehen. Bei der Ermessensentscheidung sollen unter ande- 
rem die Bedeutung der Vorschrift, gegen die verstoßen wur- 
de, sowie die Art und die besonderen Umstände des Versto- 
ßes einbezogen werden, z. B. auch der Umstand, dass der 
Verstoß bereits beseitigt worden ist. Bei schwerwiegenden 
Verstößen oder Verstößen mit Langzeitwirkung kann die 
Kennzeichnung für einen von der zuständigen Behörde be- 
stimmten Zeitraum untersagt werden, z. B. weil es zunächst 
erforderlich ist, ein Produkt oder Verfahren technisch nach- 
zubessem oder organisatorische Maßnahmen umzusetzen. 

Zu § 8 (Überwachung) 

Zur Durchführung der Überwachung des Datenschutzaudit- 
gesetzes und der auf Grund dieses Gesetzes erlassenen 
Rechtsverordnungen ist es erforderlich, dass den hierzu Be- 
auftragten auf Verlangen die entsprechenden Auskünfte er- 
teilt werden. Ferner sind sie mit entsprechenden Rechten, 
insbesondere dem Betretungs- und Besichtigungsrecht so- 
wie dem Einsichts- und Prüfungsrecht auszustatten, denen 
entsprechende Rechte und Pflichten der Betroffenen gegen- 
überstehen. Damit lehnt sich die Regelung an bewährte Vor- 
schriften zur Überwachung in anderen Regelungsbereichen 
an, insbesondere den Befugnissen der Aufsichtsbehörden 
nach § 38 Absatz 3 und 4 des Bundesdatenschutzgesetzes. 
Die Regelung umfasst die Überwachung der Kontrollstellen 
und in diesem Zusammenhang der kontrollierten Unterneh- 
men durch die zuständigen Behörden. Ferner bedarf es zur 
Gewährleistung eines hohen Qualitätsniveaus des Kontroll- 
systems einer entsprechenden Regelung für das Verhältnis 
der zugelassenen Kontrollstellen gegenüber den in das Kon- 
trollverfahren einbezogenen Unternehmen. Die in Absatz 2 
aufgeführten Befugnisse der Personen, die von der zuständi- 
gen Behörde beauftragt sind, begründen lediglich die Dul- 
dungspflichten nach Absatz 3, beschreiben jedoch insoweit 
nicht abschließend den Inhalt der Tätigkeiten, zu denen die 
genannten Personen befugt sind. 

Zu § 9 (Datenschutzauditsiegel, Verzeichnisse) 

Zu Absatz 1 

Absatz 1 verfolgt das Ziel, das Internet und den elektroni- 
schen Bundesanzeiger zur Feststellung der Echtheit von mit 
einem Datenschutzauditsiegel gekennzeichneten Daten- 
schutzkonzepten oder informationstechnischen Einrichtun- 
gen zu nutzen. Damit werden Erfahrungen, u. a. in Bezug auf 
die Ursachen von Betrugsfällen im Bereich der Vergabe von 
Bio-Siegeln aufgegriffen. 

Satz 1 verpflichtet jedes Unternehmen, das ein Datenschutz- 
konzept oder eine informationstechnische Einrichtung mit 
dem Datenschutzauditsiegel keimzeichnen möchte, dies bei 
dem Bundesbeauftragten für den Datenschutz und die Infor- 
mationsfreiheit anzuzeigen. Näheres zu der Anzeige und den 
verpflichtenden Angaben regelt eine Rechtsverordnung nach 
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§16 Absatz 3 Nummer 5. Für die lückenlose Kontrolle und 
Überwachung ist es notwendig, dass die Anzeige noch vor 
der ersten Verwendung erfolgt. 

Nach den Sätzen 2 bis 4 hat der Bundesbeauftragte für den 
Datenschutz und die Infonnationsfreiheit ein Verzeichnis 
der angezeigten Datenschutzkonzepte und informations- 
technischen Einrichtungen des anzeigenden Unternehmens 
sowie der Kontrollstelle zu führen und auf seiner Intemet- 
seite und im elektronischen Bundesanzeiger zum Zwecke 
der Information der zuständigen Behörden und Betroffenen 
verfügbar zu machen. Mit dem Verzeichnis wird für diese, 
aber auch für andere Wirtschaftsbeteiligte eine Infonna- 
tionsmöglichkeit geschaffen, um sichere Auskünfte über die 
Echtheit der betroffenen Datenschutzkonzepte sowie infor- 
mationstechnischen Einrichtungen zu erhalten. Soweit das 
Verzeichnis Informationen über die von den Kontrollstellen 
kontrollierten Unternehmen enthält, beugt es Verfälschun- 
gen und Missbrauch von Datenschutzauditsiegeln vor und 
verbessert bei geringem Aufwand den Schutz der Betroffe- 
nen. Die Informationen sind auch für Vertragspartner unver- 
zichtbar, um zuverlässig prüfen zu können, ob das betreffen- 
de Unternehmen aktuell berechtigt ist, für ein bestimmtes 
Datenschutzkonzept oder eine informationstechnische Ein- 
richtung ein Datenschutzauditsiegel zu verwenden. 

Zu Absatz 2 

Absatz 2 sieht in gleicher Weise wie in Absatz 1 ein Ver- 
zeichnis vor, in dem der Bundesbeauftragte für den Daten- 
schutz und die Informationsfreiheit die von ihm zugelasse- 
nen Kontrollstellen mit Namen und Anschrift sowie der 
ihnen erteilten Kennnummer aufführt. Kontrollstellen, de- 
nen die Zulassung entzogen worden sind, werden nicht mehr 
aufgeführt. Damit wird es u. a. den Unternehmen ermög- 
licht, für sie in Frage kommende Kontrollstellen ausfindig zu 
machen. 

Zu § 10 (Gebühren und Auslagen) 

Die Vorschrift normiert ausschließlich die Erhebung von 
Gebühren und Auslagen für Amtshandlungen von Bundes- 
behörden; Gebühren- und Auslagenregelungen für Leistun- 
gen der Länderbehörden werden dagegen einer landesrecht- 
lichen Regelung überlassen. 

Zu Absatz 1 

Absatz 1 schafft eine auf den Bundesbeauftragten für den 
Datenschutz und die Informationsfreiheit beschränkte Ge- 
bühren- und Auslagenregelung. 

Satz 1 legt den Umfang der gebühren- und auslagenpflich- 
tigen Amtshandlungen fest. Die Gebührenpflicht erfasst 
Amtshandlungen des Bundesbeauftragten für den Daten- 
schutz und die Informationsfreiheit nach § 2 Absatz 1 Satz 2 
und Absatz 2. Damit sind auch die Zulassung einer Kontroll- 
stelle, die Entziehung dieser Zulassung und die Vergabe 
einer Kennnummer an die Kontrollstelle in die Gebühren- 
pflicht einbezogen. Ferner erfasst die Gebührenpflicht 
Amtshandlungen nach § 9 Absatz 1 und 2. Dazu zählen die 
Entgegennahme der Anzeige der Verwendung des Daten- 
schutzauditsiegels sowie die Aufnahme der angezeigten Da- 
tenschutzkonzepte und informationstechnischen Einrichtun- 


gen und weiterer Daten in einem Verzeichnis im Internet 
sowie im elektronischen Bundesanzeiger. 

Für die Bemessung der Gebühren ordnet Satz 1 das Kosten- 
deckungsprinzip an. Damit gilt nach § 3 Absatz 2 des Ver- 
waltungskostengesetzes das Verbot der Kostenüberdeckung, 
wonach Gebühren so bemessen sein müssen, dass das ge- 
schätzte Gebührenaufkommen den auf die Amtshandlung 
entfallenden durchschnittlichen Personal- und Sachaufwand 
für den betreffenden Verwaltungszweig nicht übersteigt. Die 
Erhebung von Verwaltungsgebühren zur Erzielung von 
Überschüssen ist damit nicht gestattet. Bei der Kalkulation 
der Kosten karm der gesamte auf die einzelne gebühren- 
pflichtige Leistung entfallende Verwaltungsaufwand berück- 
sichtigt werden. 

Die näheren Bestimmungen zur Gebühren- und Auslagener- 
hebung werden nach den Sätzen 2 und 3 durch Rechtsverord- 
nung des Bundesministeriums des Innern getroffen. 

Zu Absatz 2 

Die Vorschrift stellt klar, dass die Regelung der Gebühren 
und Auslagen für Amtshandlungen der Landesbehörden 
nach § 7 Absatz 1 Satz 1 und Absatz 2 den Ländern obliegt. 

Zu § 11 (Datenschutzauditausschuss) 

Zu Absatz 1 

Nach Absatz 1 Satz 1 wird beim Bundesbeauftragten für den 
Datenschutz ein Datenschutzauditausschuss gebildet. 

Satz 2 bestimmt die Aufgabe des Datenschutzauditausschus- 
ses, Richtlinien zur Verbesserung des Datenschutzes und der 
Datensicherheit zu erlassen. Einige Inhalte, durch die Richt- 
linien über den bestehenden Stand der Gesetze hinaus Ver- 
besserungen des Datenschutzes und der Datensicherheit er- 
reichen zu können, sind nicht abschließend aufgeführt. Die 
Transparenz der Datenerhebung, -Verarbeitung und -nutzung 
wird dabei auch durch die Auskunftsrechte der Betroffenen 
gewährleistet. Die Aufzählung berührt nicht die Entschei- 
dung des Ausschusses, welche Richtlinien er inhaltlich vor- 
rangig angeht und mit welchen Inhalten er eine Verbesserung 
des Datenschutzes und der Datensicherheit anstrebt. 

Die Beachtung der in den Richtlinien enthaltenen Kriterien 
wird von den zugelassenen Kontrollstellen im Rahmen ihrer 
Kontrollen nach Maßgabe dieses Gesetzes überprüft. Zudem 
karm es, etwa bei der Aktualisierung von überholten Richtli- 
nien, notwendig sein nachzuweisen, ab welchem Zeitpunkt 
die Richtlinie veröffentlicht war und von der zugelassenen 
Kontrollstelle und dem kontrollierten Unternehmen zu be- 
achten war. Die Richtlinien sind daher nach Satz 3 über die 
Veröffentlichung auf der Webseite des Bundesbeauftragten 
für den Datenschutz und die Informationsfreiheit und im 
elektronischen Bundesanzeiger bekannt zu machen. 

Zu Absatz 2 

Nach Absatz 2 unterrichtet der Datenschutzauditausschuss 
jährlich die Öffentlichkeit in einem Bericht über seine Tätig- 
keit, z. B. Umfang, Inhalt und Probleme und Erfahrungen, 
insbesondere über die Praktikabilität und erforderliche Än- 
derungen erlassener Richtlinien und den Bedarf für neue 
Richtlinien. Der Bericht stärkt die Transparenz der Arbeiten 
des Ausschusses. Der Ausschuss hat nach seiner gesetzli- 
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chen Aufgabe, Richtlinien zur Verbesserung des Datenschut- 
zes und der Datensicherheit zu erlassen, die Möglichkeit, 
Diskussionen zu datenschutzrechtlichen Themen anzusto- 
ßen, die zur Fortentwicklung des Datenschutzes beitragen. 
Im Bericht können ferner Richtlinien in einer Weise erläutert 
werden, wie es im Rahmen der amtlichen Bekanntmachung 
nicht möglich ist. Durch die Ankündigung, neue Richtlinien 
für weitere Bereiche zu erlassen oder erlassene Richtlinien 
anzupassen, können die betroffenen Unternehmen und zuge- 
lassenen Kontrollstellen sich bereits frühzeitig hierauf ein- 
stellen. 

Zu § 12 (Mitglieder des Datenschutzauditausschusses) 

Zu Absatz 1 

Absatz 1 Satz 1 regelt die Zusammensetzung des Daten- 
schutzauditausschusses und die Verteilung der 1 8 Mitglieder 
auf die im Ausschuss vertretenen Gruppen. 

Der Datenschutzauditausschuss soll nach Größe und Zusam- 
mensetzung ausgewogen mit praxisorientierten, wirtschafts- 
nahen Mitgliedern und Mitgliedern der Verwaltung mit Be- 
zug zum Datenschutz und der Datensicherheit sowie dem 
Datenschutzauditverfahren besetzt sein. Demnach sind im 
Datenschutzauditausschuss vertreten 

- Vertreter der Verwaltung des Bundes und der Länder, da 
sie in verschiedener Weise für fachspezifische Vorschrif- 
ten des Datenschutzes zuständig sind, 

- Vertreter des Bundesbeauftragten für den Datenschutz 
und die Informationsfreiheit, da er die Kontrollstellen 
zulässt und die Zulassung entzieht und um aus seinem 
Zuständigkeitsbereich aufsichtsbehördliche Erkermtnisse 
zur Lage des Datenschutzes und zu dessen Verbesserung 
einzubringen, 

- Vertreter des Bundesamtes für Sicherheit in der Informa- 
tionstechnik, da es aufgrund seiner gesetzlichen Auf- 
gaben eine hervorgehobene Rolle im Bereich der Daten- 
sicherheit spielt und um diese Aspekte einzubringen, 

- Vertreter von Aufsichtsbehörden der Länder für den Da- 
tenschutz im nichtöffentlichen Bereich, da sie die ord- 
nungsgemäßen Kontrollen der Kontrollstellen überwa- 
chen und um aufsichtsbehördliche Erkenntnisse zur Lage 
des Datenschutzes und zu dessen Verbesserung einzu- 
bringen, 

- Vertreter von Unternehmen, da sie sich zur Verwendung 
des Datenschutzauditsiegels in das Kontrollverfahren 
einbeziehen lassen und um branchenspezifische sowie 
aus der Anwendung gewonnene Aspekte beitragen zu 
können. 

Kriterien für die zahlenmäßige Zusammensetzung des Da- 
tenschutzauditausschusses sind die Arbeitsfähigkeit des 
Ausschusses, eine Abstufung der Mitgliederzahl entspre- 
chend der unterschiedlichen Betroffenheit der vertretenen 
Gruppen und unter Berücksichtigung der Sperrminorität 
nach § 1 3 Absatz 3 Nummer 1 . 

Die größte Einzelgruppe stellen die sechs Vertreter von 
Unternehmen. Eine zu stark aufsichtsbehördliche Zusam- 
mensetzung läuft Gefahr, Richtlinien zur Verbesserung des 
Datenschutzes und der Datensicherheit zu erlassen, die eine 
sehr hohe Qualität gewährleisten und das Vertrauen der Ver- 


braucherinnen und Verbraucher genießen, jedoch prak- 
tischen Bedürfnissen der Unternehmen nicht genügend 
Rechnung tragen und daher keine Verbreitung finden. Damit 
ginge auch der Mehrwert für die Fortentwicklung des Daten- 
schutzes, insbesondere in der Breite, verloren. Ziel des Aus- 
schusses kann es allerdings nicht sein, Richtlinien zu erlas- 
sen, die keine substanzielle Verbesserung des Datenschutzes 
erreichen. Derartige Richtlinien würden letztlich das Daten- 
schutzauditsiegel entwerten, bei Verbraucherinnen und Ver- 
brauchern auf Ablehnung stoßen und damit auch den ange- 
strebten Mehrwert für die Wirtschaft mindern. Aus diesem 
Grund sind die Datenschutzaufsichtsbehörden mit insgesamt 
sechs Vertretern in gleicher Stärke vertreten wie die Unter- 
nehmensvertreter. Vertreter des Bundesamtes für Sicherheit 
in der Informationstechnik sind in derselben Größenordnung 
wie der Bundesbeauftragte für den Datenschutz und die 
Informationsfreiheit vertreten, um die Datensicherheit als 
Bestandteil des Datenschutzes (§ 9 des Bundesdatenschutz- 
gesetzes) hervorzuheben und Reibungsverluste mit der 
Tätigkeit des Bundesamtes für Sicherheit in der Informa- 
tionstechnik zu venneiden. 

Satz 2 bestimmt, dass die Mitglieder des Datenschutzaudit- 
ausschusses keinen Weisungen unterliegen und ehrenamtlich 
tätig sind. 

Durch Satz 3, der die §§ 83, 84 des Verwaltungsverfahrens- 
gesetzes für anwendbar erklärt, werden die ehrenamtlich 
tätigen Mitglieder auf Gewissenhaftigkeit, Unparteilichkeit 
und Verschwiegenheit verpflichtet. Da § 85 des Verwaltungs- 
verfahrensgesetzes nicht für anwendbar erklärt wird, sind 
Auslagen und Verdienstausfall der Ausschussmitglieder 
nicht vom Bund, sondern in der Regel von der entsendenden 
Institution zu ersetzen. Diese Regelung ist gerechtfertigt, da 
die Ausschussmitglieder im Interesse der von ihnen vertrete- 
nen Gruppe tätig werden. Da § 86 des Verwaltungsverfah- 
rensgesetzes nicht für anwendbar erklärt wird, ist eine Ab- 
berufung aus den dort genaimten Gründen nicht möglich. 
Dies würde mit der Weisungsfreiheit der Mitglieder des Aus- 
schusses nach § 12 Absatz 1 Satz 2 kollidieren. 

Zu Absatz 2 

Absatz 2 stellt Mindestanforderungen an die fachliche Kom- 
petenz der Ausschussmitglieder, damit sie ihre Aufgaben 
sachgerecht erfüllen können. Die Fachkenntnis der Aus- 
schussmitglieder wirkt sich unmittelbar auf die Qualität der 
Arbeit des Ausschusses aus. Mittelbar wird dadurch das Ver- 
trauen der Verbraucherinnen und Verbraucher in das Daten- 
schutzauditsiegel gestärkt. 

Zu Absatz 3 

Absatz 3 regelt, dass die Berufung der Mitglieder des Daten- 
schutzauditausschusses und ihrer Stellvertreter durch das 
Bundesministerium des Innern erfolgt. Die Berufung erfolgt 
für die in Absatz 1 Satz 1 Nummer 3 bis 6 genannten Grup- 
pen auf Vorschlag der jeweiligen Gruppe und im Einverneh- 
men mit der jeweiligen Gruppe. Für die Berufung eines Mit- 
glieds muss also nicht das Einvernehmen mit allen im 
Datenschutzauditausschuss vertretenen Gruppen herbeige- 
führt werden. Dies birgt die Gefahr, dass mangels Einver- 
nehmens der Ausschuss nicht besetzt werden kann, und be- 
rührt die Unabhängigkeit der betroffenen Mitglieder. Das 
Vorschlagsrecht für die zu berufenden Mitglieder des Daten- 
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schutzauditausschusses liegt bei den Bundesdachverbänden 
der Wirtschaft, den Aufsichtsbehörden der Länder für den 
Datenschutz im nichtöffentlichen Bereich, dem Bundes- 
beauftragten für den Datenschutz und die Informationsfrei- 
heit sowie den für den Datenschutz zuständigen obersten 
Landesbehörden. Als Bundesdachverbände der Wirtschaft 
kommen in Betracht: der Bundesverband der Deutschen 
Industrie, die Bundesvereinigung der Deutschen Arbeit- 
geberverbände, der Deutsche Industrie- und Handelstag, der 
Zentralverband des Deutschen Handwerks und der Bundes- 
verband freier Berufe. Für die Nummer 1 besitzt das Bun- 
desministerium des Innern als für den allgemeinen Daten- 
schutz zuständiges Bundesressort das Vorschlagsrecht. Dies 
gilt auch hinsichtlich der Nummer 2 für das Bundesamt für 
Sicherheit in der Informationstechnik aus seinem Geschäfts- 
bereich. 

Die Berufungsdauer von drei Jahren soll eine personelle Sta- 
bilität für den Datenschutzauditausschuss erreichen. Eine er- 
neute Berufung wird nicht ausgeschlossen. 

Zu Absatz 4 

Zu Sitzungen des Datenschutzauditausschusses ist ein Ver- 
treter der Bundesnetzagentur mit beratender Stimme hinzu- 
zuziehen, soweit Gegenstand der Sitzung eine Richtlinie ist, 
die nichtöffentliche Stellen betrifft, die nach § 1 1 5 Absatz 4 
Satz 1 des Telekommunikationsgesetzes oder § 42 Absatz 3 
des Postgesetzes der Kontrolle des Bundesbeauftragten un- 
terliegen. 

Zu § 13 (Geschäftsordnung, Vorsitz und Beschlussfassung 
des Datenschutzauditausschusses) 

Die Vorschrift regelt Grundsätze der Willensbildung des Da- 
tenschutzauditausschusses. 

Zu Absatz 1 

Absatz 1 enthält einen Genehmigungsvorbehalt für das Bun- 
desministerium des Innern im Hinblick auf die Geschäfts- 
ordnung des Datenschutzauditausschusses, der Teil der 
Rechtsaufsicht ist. Die Geschäftsordnung könnte z. B. das 
Ausscheiden eines Mitglieds vor Ablauf der Berufungs- 
periode, die Rolle des Stellvertreters und des Vorsitzenden, 
den Sitzungsablauf und die -häufigkeit, die Sitzungsteilnah- 
me von Externen, z. B. der Bundesnetzagentur im Bereich 
der Post und Telekommunikation, die Niederschrift, die Ein- 
setzung von thematischen Arbeitsgruppen und die Tätigkeit 
der Geschäftsstelle regeln. 

Zu Absatz 2 

Absatz 2 stellt sicher, dass im Vorstand alle relevanten Grup- 
pen vertreten sind. Näheres zur Wahl regelt die Geschäfts- 
ordnung. Die Wahl bedarf daher als Angelegenheit der Ge- 
schäftsordnung der Mehrheit der gesetzlichen Mitglieder. 

Zu Absatz 3 

Absatz 3 regelt das Beschlussverfahren des Datenschutz- 
auditausschusses. Im Interesse der Praktikabilität ist die er- 
forderliche Mehrheit je nach Beratungsgegenstand unter- 
schiedlich. 


Nummer 1 sieht eine Mehrheit von zwei Dritteln (zwölf 
Stimmen) der Mitglieder bei der Verabschiedung von Richt- 
linien zur Verbesserung des Datenschutzes und der Daten- 
sicherheit vor. Auf diese Weise wird verhindert, dass eine 
Gruppe den Datenschutzauditausschuss majorisiert. Die 
Sperrminorität beträgt sieben Stimmen, so dass eine Gruppe 
den Datenschutzauditausschuss auch nicht blockieren kann. 

Nummer 2 verlangt die Mehrheit der gesetzlichen Mitglie- 
derzahl in Geschäftsordnungsangelegenheiten, damit nicht 
Zufallsmehrheiten zur Benachteiligung einzelner Gruppen 
führen. 

Zu § 14 (Geschäftsstelle des Datenschutzauditausschusses) 

Die Vorschrift schafft die personellen und organisatorischen 
Voraussetzungen für die Arbeitsfähigkeit des Daten- 
schutzauditausschusses. Da der Datenschutzauditausschuss 
keine eigene Rechtspersönlichkeit besitzt und somit kein 
Personal einstellen und keine organisatorische Infrastruktur 
schaffen kaim, muss eine Geschäftsstelle zur Verfügung ge- 
stellt werden. Näheres obliegt der Ausgestaltung durch die 
Geschäftsordnung. Einrichtung und Unterhaltung der Ge- 
schäftsstelle können nicht durch eine im Datenschutzaudit- 
ausschuss vertretene Gruppe, sondern müssen durch den 
Bund erfolgen. 

Zu § 15 (Rechtsaufsicht) 

Zu Absatz 1 

Absatz 1 unterstellt den Datenschutzauditausschuss der Auf- 
sicht des Bundesministeriums des Innern und beschränkt die 
Aufsicht auf die Rechtmäßigkeit der Ausschusstätigkeit. 
Diese Beschränkung ergibt sich aus den Selbstverwaltungs- 
elementen, die den Datenschutzauditausschuss kennzeich- 
nen. 

Zu den Absätzen 2 bis 4 

Die Absätze 2 bis 4 regeln die herkömmlichen Instrumente 
körperschaftlicher Rechtsaufsicht. Sie orientieren sich insbe- 
sondere an den bewährten Regelungen zum Umweltgutach- 
terausschuss (§ 27 des Umweltauditgesetzes), die zurückge- 
hen auf Instrumente der Kommunalaufsicht und der Aufsicht 
über die Handwerkskammern (§§ 105, 115 der Handwerks- 
ordnung). Absatz 4 ist der Regelung des § 1 15 Absatz 2 der 
Handwerksordnung nachgebildet. Das Auflösungsrecht 
greift als Ultima Ratio ein, wenn der Datenschutzaudit- 
ausschuss seine gesetzlichen Aufgaben nach § 1 6 nicht mehr 
erfüllen kann, weil sich z. B. die im Datenschutzaudit- 
ausschuss vertretenen Gruppen durch Ausübung ihrer Sperr- 
minoritäten gegenseitig blockieren, ln der Praxis dürfte al- 
lein das Bestehen des Auflösungsrechts ausreichen, um eine 
solche Entwicklung zu verhindern. 

Zu § 16 (Verordnungsermächtigungen) 

Zu Absatz 1 

Absatz 1 greift die Möglichkeit der Länder auf, die Erfüllung 
ihrer hoheitlichen Aufgaben Kontrollstellen durch Rechts- 
verordnung zu übertragen oder sie daran zu beteiligen. Da- 
mit soll den Ländern ein verfahrenstechnisch möglichst 
einfacher Weg geboten werden, zur Wahrnehmung ihrer 
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Aufgaben im Zusammenhang mit der Durchführung des Ge- 
setzes die Beleihung oder Mitwirkung Privater vorzusehen. 

Zu Absatz 2 

Absatz 2 ist eine notwendige Folge der Regelung in § 2 
Absatz 1 Satz 2 und eröffnet die zu Absatz 1 dargestellten 
Möglichkeiten der Übertragung und Beteiligung auf Kontroll- 
stellen auch dem Bundesbeauftragten für den Datenschutz 
und die Informationsfreiheit. Ermächtigt wird die Bundes- 
regierung, deren Rechtsaufsicht der Bundesbeauftragte für 
den Datenschutz und die Informationsfreiheit nach § 22 
Absatz 4 Satz 3 des Bundesdatenschutzgesetzes unterliegt, 
nach Anhörung des Bundesbeauftragten für den Datenschutz 
und die Informationsfreiheit ohne Zustimmung des Bundes- 
rates. 

Zu Absatz 3 

Die Vorschrift sieht in Absatz 3 Nummer 1 die erforderliche 
Ermächtigung des Bundesministeriums des Innern vor, um 
im Wege einer Rechtsverordnung mit Zustimmung des Bun- 
desrates Einzelheiten der Verwendung des Datenschutz- 
auditsiegels zu regeln, um eine einheitliche Kennzeichnung 
und eindeutige Erkennbarkeit der Kennzeichnung zu ge- 
währleisten. 

Nummer 2 eröffnet die Möglichkeit, erforderlichenfalls die 
Voraussetzungen, das Verfahren der Zulassung der Kontroll- 
stellen sowie das Verfahren für deren Entziehung durch 
Rechtsverordnung mit Zustimmung des Bundesrates näher 
zu regeln. 

Nummer 3 sieht die erforderliche Ermächtigung vor, um im 
Wege einer Rechtsverordnung mit Zustimmung des Bundes- 
rates Mindestkontrollanforderungen und im Rahmen des 
Kontrollverfahrens vorgesehene Vorkehrungen festzulegen. 

Die Nummern 4 und 5 sehen vor, die Gestaltung des Daten- 
schutzauditsiegels und die Anzeige seiner Verwendung nach 
§ 9 Absatz 1 Satz 1 näher zu regeln. 

Die Rechtsverordnung nach Nummer 1 soll neben der Ver- 
wendung insbesondere die Art und den Ort der Anbringung 
des Datenschutzauditsiegels regeln. Die Rechtsverordnung 
nach Nummer 2 soll insbesondere die Voraussetzungen für 
die Zulassung und die Entziehung der Zulassung, z. B. im 
Hinblick auf § 4 Absatz 1 Satz 1 Nummer 2, näher ausfüh- 
ren. Die Rechtsverordnung nach Nummer 3 soll Einzelhei- 
ten zu den Mindestanforderungen an das Kontrollverfahren 
der Kontrollstellen regeln, insbesondere zur Häufigkeit der 
Kontrollen und zur Intensität der Überprüfung, sowie die 
Pflichten der kontrollierten Stellen, um die Wirksamkeit der 
Kontrollen zu gewährleisten. Die Rechtsverordnung nach 
Nummer 4 soll neben einer genauen Beschreibung des Da- 
tenschutzauditsiegels in allen Wort- und Grafikbestandteilen 
insbesondere regeln, wie stark das Datenschutzauditsiegel 
abgewandelt werden darf (maximale Vergrößerung oder Ver- 
kleinerung, Zulässigkeit von Zusätzen) und welche Kombi- 
nationsmöglichkeit mit anderen Zertifikaten und Kennzeich- 
nungen besteht. Der Bundesadler findet keine Verwendung, 
da die Voraussetzungen nach dem Erlass über die Dienst- 
siegel vom 20. Januar 1950 (BGBl. S. 26) nicht vorliegen. 
Die Rechtsverordnung nach Nummer 5 soll insbesondere die 


verpflichtenden Angaben für die Anzeige in Gestalt eines 
Formblattes aufführen. 

Zu § 17 (Bußgeldvorschriften) 

Die Vorschrift enthält die erforderlichen Bußgeldtatbestän- 
de, insbesondere bei vorsätzlich oder fahrlässig unbefugter 
Kennzeichnung mit dem Datenschutzauditsiegel entgegen 
einer Anordnung der zuständigen Behörde oder bei unzurei- 
chender Anzeige der Verwendung gegenüber dem Bundes- 
beauftragten für den Datenschutz und die Informationsfrei- 
heit durch Unternehmen. 

Für Kontrollstellen soll es einen Bußgeldtatbestand darstel- 
len, ein Verzeichnis der kontrollierten Stellen oder einen 
Kontrollbericht nicht, nicht richtig, nicht vollständig oder 
nicht rechtzeitig vorzulegen sowie nicht, nicht richtig, nicht 
vollständig oder nicht rechtzeitig über festgestellte Verstöße 
zu unterrichten, da eine unterlassene oder verspätete Mel- 
dung zu unvertretbaren Lücken im Kontroll- und Über- 
wachungssystem führen kann. Ferner soll die unterlassene 
rechtzeitige Mitteilung einer Kontrollstelle an die von ihr 
kontrollierten Unternehmen die zuständigen Behörden und 
den Bundesbeauftragten für den Datenschutz und die Infor- 
mationsfreiheit über die voraussichtliche Beendigung der 
Kontrolltätigkeit als Ordnungswidrigkeit geahndet werden 
können, da den kontrollierten Unternehmen infolge unterlas- 
sener oder verspäteter Mitteilung erhebliche Nachteile ent- 
stehen können. 

Einen Bußgeldtatbestand sowohl für kontrollierte Unterneh- 
men als auch Kontrollstellen soll es darstellen, jeweils im 
Rahmen der Überwachung durch Kontrollstellen und zustän- 
dige Behörden Maßnahmen nicht zu dulden oder eine Aus- 
kunft nicht, nicht richtig, nicht vollständig oder nicht recht- 
zeitig zu erteilen. 

Der Strafrahmen entspricht demjenigen nach § 43 Absatz 3 
in Verbindung mit Absatz 1 bzw. 2 des Bundesdatenschutz- 
gesetzes. 

Zu § 18 (StrafVorschrift) 

Die Vorschrift stellt die vorsätzliche unbefugte Kennzeich- 
nung mit einem Datenschutzauditsiegel entgegen der An- 
ordnung einer zuständigen Behörde nach § 7 Absatz 2 in 
Bereicherungs- oder Schädigungsabsicht unter Strafe. Der 
Strafrahmen entspricht demjenigen nach § 44 Absatz 1 des 
Bundesdatenschutzgesetzes. 

Zu § 19 (Einziehung) 

Die Vorschrift enthält die übliche nebenstrafrechtliche Rege- 
lung. 

Zu § 20 (Übergangsvorschrift) 

Die Möglichkeit, ein Datenschutzaudit nach dem Daten- 
schutzauditgesetz durchzuführen, ist abhängig von verschie- 
denen vorbereitenden Maßnahmen, insbesondere der Kon- 
stituierung des Datenschutzauditausschusses und der 
Erarbeitung und dem Beschluss von Richtlinien zur Verbes- 
serung des Datenschutzes und der Datensicherheit als 
Grundlage für die Kennzeichnung mit dem Datenschutz- 
auditsiegel. § 1 ist daher erst ab dem 1. Juli 2010 anzuwen- 
den. 
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Zu Artikel 2 

Zu Nummer 1 (Inhaltsübersicht) 

Die Inhaltsübersicht ist an die nachfolgend begründeten Ge- 
setzesänderungen anzupassen. 

Zu Nummer 2 (§ 4f Absatz 3 Satz 5 bis 7) 

Durch die Änderung soll die Position des Beauftragten für 
den Datenschutz gestärkt werden. Satz 5 erweitert den Kün- 
digungsschutz des Beauftragten für den Datenschutz. Satz 6 
erstreckt diesen Kündigungsschutz auf die Zeit nach Beendi- 
gung der Funktion des Beauftragten für den Datenschutz. 
Satz 7 unterstützt die Fortbildung und damit die fachliche 
Eignung des Beauftragten für den Datenschutz. 

Satz 5 passt den Kündigungsschutz der nach § 4f Absatz 1 
zu bestellenden Beauftragten für den Datenschutz an den 
Kündigungsschutz vergleichbarer Funktionsträger an, wie 
z. B. des Gewässerschutzbeauftragten (§21f Absatz 2 
Satz 1, 2 des Wasserhaushaltsgesetzes), des Immissions- 
schutzbeauftragten (§58 Absatz 2 Satz 1, 2 des Bundes- 
Immissionsschutzgesetzes), des Störfallbeauftragten (§ 58d 
i. V. m. §58 Absatz 2 Satz 1, 2 des Bundes-Immissions- 
schutzgesetzes), des Abfallbeauftragten (§ 55 Absatz 3 des 
Kreislaufwirtschafts-ZAbfallgesetzes i. V. m. § 58 Absatz 2 
Satz 1, 2 des Bundes-Immissionsschutzgesetzes) oder der 
Betriebsratsmitglieder (§ 15 Absatz 1 Satz 1, 2 des Kündi- 
gungsschutzgesetzes). Die Aufgabenstellung des Beauftrag- 
ten für den Datenschutz ist mit diesen privilegiert geschütz- 
ten Funktionsträgem nach Art und Umfang vergleichbar. 
Allen diesen Beauftragten ist gemeinsam, dass die Einhal- 
tung gesetzlicher Vorschriften überwacht und hierfür Kon- 
trollen durchgeführt werden. Darüber hinaus wirken sie für 
ihren Aufgaberrkreis auf eine Verbesserung der bestehenden 
Situation hin, informieren die Beschäftigten und beraten die 
verantwortliche Stelle. Derzeit sind dem Beauftragten für 
den Datenschutz in § 4f Absatz 3 Satz 3 und 4 ein Benach- 
teiligungsverbot und eine erschwerte Abberufung einge- 
räumt. Diese hat sich in der Praxis als nicht ausreichend er- 
wiesen, vor allem dann — was der Regelfall ist - wenn die 
Aufgabe des Beauftragten für den Datenschutz nur als Teil- 
aufgabe wahrgenommen wird. Ein Widerruf der Bestellung 
des Beauftragten für den Datenschutz kann gemäß § 4f 
Absatz 3 Satz 4 in entsprechender Anwendung des § 626 des 
Bürgerlichen Gesetzbuchs (und bei nichtöffentlichen Stellen 
auf Verlangen der Aufsichtsbehörde) erfolgen. Verschiedene 
Arbeitsgerichte haben unter teilweise ausdrücklicher Bezug- 
nahme auf die unterschiedliche gesetzliche Regelung des 
Kündigungsschutzes bei Beauftragten für den Datenschutz 
gegenüber anderen Funktionsträgem entschieden, dass eine 
ordentliche Kündigung aus anderen als amtsbezogenen 
Gründen durch die bestehenden Regelungen in § 4f Absatz 3 
Satz 3 und 4 nicht ausgeschlossen ist. Sie haben weiter ge- 
folgert, dass mit dem beendeten Arbeitsverhältnis zugleich 
die Bestellung als Beauftragter für den Datenschutz beendet 
ist und es einer ausdrücklichen Abbemfung nicht mehr be- 
darf (z. B. Landesarbeitsgericht Niedersachsen, Urteil vom 
16. Juni 2003, - 8 Sa 1968/02; Landesarbeitsgericht Berlin, 
Urteil vom 27. Oktober 1997, - 17 Sa 87/97). Das Bundes- 
arbeitsgericht hat bislang lediglich entschieden, dass eine 
Teilkündigung der arbeitsvertraglichen Abrede zur Über- 
nahme des Amtes eines Beauftragten für den Datenschutz 


zulässig ist und Prüfungsmaßstab gleichlaufend mit der Ab- 
bemfung nach § 4f Absatz 3 Satz 4 der § 626 des Bürger- 
lichen Gesetzbuchs sein muss (Urteil vom 13. März 2007, 
- 9 AZR 612/05). Das Bundesarbeitsgericht hat sich nicht 
dazu geäußert, ob auch eine ordentliche Kündigung des 
Arbeitsverhältnisses möglich wäre und inwieweit dies zur 
Beendigung des Amtes des Datenschutzbeauftragten führen 
würde. Diese Frage wird durch Satz 5 geklärt. Durch die 
Anknüpfung an die Verpflichtung zur Bestellung nach § 4f 
Absatz 1 kommt zum Ausdmck, dass ein Kündigungsschutz 
nicht besteht, wenn die Stelle sich freiwillig dazu entschei- 
det, einen Beauftragten für den Datenschutz zu bestellen. 
Eine Ausdehnung des Kündigungsschutzes auch auf nicht 
zur Bestellung verpflichtete Stellen würde diese im Ergebnis 
davon abhalten, freiwillig einen Beauftragten für den Daten- 
schutz zu bestellen und führt zu einem ungewollten Ergeb- 
nis. 

Satz 6 beinhaltet einen nachwirkenden Kündigungsschutz, 
indem er diesen, ebenfalls in Anlehnung an die o. g. Vor- 
schriften bei vergleichbaren Funktionsträgem, auf ein Jahr 
nach Beendigung des Amtes des Beauftragten für den Daten- 
schutz erstreckt. 

Satz 7 sieht vor, dass die verantwortliche Stelle dem Be- 
auftragten für den Datenschutz ermöglichen muss, an Schu- 
lungs- und Bildungsveranstaltungen teilzunehmen. Zugleich 
wird die verantwortliche Stelle verpflichtet, die Kosten hier- 
für zu übernehmen. Die Reichweite der Vorschrift, z. B. der 
Umfang und die thematische Ausrichtung der Fortbildung, 
richtet sich nach der erforderlichen Fachkunde des Beauf- 
tragten für den Datenschutz, die er zur Erfüllung seiner Auf- 
gaben benötigt. Insoweit ist § 4f Absatz 2 Satz 2 zu be- 
achten. Danach richtet sich das Maß der erforderlichen 
Fachkunde insbesondere nach dem Umfang der Datenverar- 
beitung und dem Schutzbedarf der personenbezogenen Da- 
ten, die die verantwortliche Stelle erhebt oder verwendet. 
Der Fortbildungsbedarf des Beauftragten für den Daten- 
schutz variiert daher jenseits eines Gmndbedarfs, der auch 
durch die stetige Fortentwicklung von Recht und Technik 
hervorgemfen wird. Ähnliche Regelungen bestehen z. B. für 
Betriebs- und Personalräte (§ 37 Absatz 6 Satz 1 des Be- 
triebsverfassungsgesetzes, § 46 Absatz 6 des Bundesperso- 
nalvertretungsgesetzes) . 

Zu Nummer 3 (§ 9a) 

Der bisherige § 9a sieht die Möglichkeit eines Daten- 
schutzaudits vor und kündigt in Satz 2 ein Gesetz hierzu 
an. Dieses ist in Artikel 1 vorgesehen. § 9a wird dadurch 
obsolet. 

Zu Nummer 4 (§ 12 Absatz 4) 

Die Ändemng in Absatz 4 ist eine redaktionelle Anpassung 
an die Verschiebung des Erlaubnistatbestandes des bisheri- 
gen Absatzes 3 Satz 1 Nummer 1 zum Absatz 2 Nummer 2 
Buchstabe a. 

Zu Nummer 5 (§ 28) 

Die vorgeschlagene Regelung beinhaltet die Streichung des 
bisher in § 28 Absatz 3 Satz 1 Nummer 3 geregelten 
„Listenprivilegs“ und die Einfühmng eines begrenzten 
Kopplungsverbots für marktbeherrschende Unternehmen im 
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neuen Absatz 3b. Die weiteren Änderungen sind redaktio- 
nelle Änderungen und Folgeänderungen. 

Die Überschrift des § 28 wird an die Überschrift des § 29 an- 
gepasst. 

ln Absatz 1 Satz 1 Nummer 1 werden aufgrund der Schuld- 
rechtsnovelle des Jahres 2002 die Begriffe „Vertragsverhält- 
nis“ und „vertragsähnliches Vertrauensverhältnis“ in Anpas- 
sung an die durch die Schuldrechtsnovelle des Jahres 2002 
eingeführte Terminologie durch die Begriffe „rechts- 
geschäftliches Schuldverhältnis“ und „rechtsgeschäftsähn- 
liches Schuldverhältnis“ (vgl. z. B. § 311 des Bürgerlichen 
Gesetzbuchs) ersetzt. 

Die bisherigen Absätze 2 und 3 sind ohne inhaltliche Ände- 
rung zusammengeführt worden. Beide enthielten gesetzliche 
Erlaubnistatbestände zur Übermittlung und Nutzung per- 
sonenbezogener Daten zu einem anderen Zweck. Dies kam 
bislang in Absatz 3 Satz 1 durch das Wort „auch“ zum 
Ausdruck. Der bisherige Absatz 2 ist nunmehr Absatz 2 
Nummer 1 . Die bisherigen Erlaubnistatbestände in Absatz 3 
Satz 1 Nummer 1 und 2 sind sprachlich zusammengefasst 
worden und nunmehr Absatz 2 Nummer 2 Buchstabe a und 
b. Der bisherige Absatz 3 Satz 1 Nummer 4 ist nunmehr 
Absatz 2 Nummer 3. 

Der bisherige Absatz 3 Satz 1 Nummer 3, das sog. Listen- 
privileg, wurde gestrichen. Der bisherige § 28 Absatz 3 
Satz 2 wurde infolge der Neuregelung in Absatz 3 entbehr- 
lich. Der neue Absatz 3 Satz 1 hält zunächst als Grundsatz 
fest, dass die Verwendung personenbezogener Daten für 
Zwecke des Adresshandels, der Werbung oder der Markt- 
oder Meinungsforschung zulässig ist, wenn der Betroffene 
entsprechend den Vorgaben des Absatzes 3a eingewilligt hat. 
Dies ergibt sich allgemein bereits aus § 4 Absatz 1 zweite 
Alternative, jedoch sieht Absatz 3a insoweit eine Konkre- 
tisierung der wegen besonderer Umstände angemessenen 
Form nach § 4a Absatz 1 Satz 3 vor. Die verantwortliche 
Stelle muss insoweit in Zukunft an den Betroffenen herantre- 
ten und ihn, z. B. durch die Gewährung von Vorteilen, für ei- 
ne Einwilligung gewinnen. Diese in einigen Wirtschaftsbe- 
reichen schon übliche Praxis, z. B. im Rahmen von 
Kundenbindungsprogrammen durch Gewährung von Vortei- 
len (ggf. gewisser zusätzlicher Punktwerte) eine Gegenleis- 
tung des Kunden in Form einer Einwilligung zu erhalten, 
wird zu auf Einwilligung gegründeten kommerziellen Da- 
tenbeständen führen. Eine gesetzliche Kennzeichnungs- 
pflicht der Daten, um deren Herkunft nachvollziehen zu kön- 
nen, ist in dieser Konstellation nicht erforderlich. Da die 
Zulässigkeit der Datenverarbeitung auf der Einwilligung des 
Betroffenen beruht, ist diese von den verantwortlichen Stel- 
len gegenüber ihren Vertragspartnern aber auch bei auf- 
sichtsbehördlichen Kontrollen nachzuweisen. Die konkrete 
Umsetzung wird nicht vorgegeben und bleibt den individu- 
ellen Bedürfnissen der Wirtschaft entsprechend ihr überlas- 
sen, wird aber mit gewissen Kosten verbunden sein. 

Die Verwendung ist darüber hinaus nach dem Absatz 3 
Satz 2 bis 5 als gesetzliche Erlaubnis im Sinne des § 4 
Absatz 1 erste Alternative zulässig. Diese gesetzliche Er- 
laubnis berührt selbstverständlich nicht die gesetzlichen An- 
forderungen des § 11, soweit eine Auftragsdatenverarbei- 
tung erfolgt. Absatz 3 Satz 2 beschränkt die gesetzliche 
Erlaubnis für die Nummern 1 bis 3 generell auf die Verwen- 


dung der bisher in § 28 Absatz 3 Satz 1 Nummer 3 aufge- 
führten sog. Listendaten. 

Nach Absatz 3 Satz 2 Nummer 1 muss es sich um Werbung 
für eigene Angebote oder eigene Markt- oder Meinungsfor- 
schung handeln. Die Verwendung der personenbezogenen 
Daten muss für diese Zwecke erforderlich sein. Die Formu- 
lierung orientiert sich an der bereichsspezifischen Regelung 
des § 95 Absatz 2 Satz 1 des Telekommunikationsgesetzes 
zur Verwendung von Telekommunikationsbestandsdaten 
durch die Diensteanbieter. Soweit die verantwortliche Stelle 
für die Eigenwerbung oder eigene Markt- oder Meinungsfor- 
schung die Berufs-, Branchen- oder Geschäftsbezeichnung, 
den Namen, Titel, akademischen Grad, die Anschrift oder 
das Geburtsjahr verwenden will, muss sie diese Daten beim 
Betroffenen erhoben haben, und zwar nach § 28 Absatz 1 
Satz 1 Nummer 1. Die Regelung verlangt keine Komplett- 
erhebung der genannten Daten. Die verantwortliche Stelle 
kann auf Daten verzichten, z. B. die Berufsbezeichnung oder 
das Geburtsjahr. Will sie diese jedoch für Zwecke der Eigen- 
werbung oder eigenen Markt- oder Meinungsforschung ver- 
wenden, muss sie die Daten beim Betroffenen erheben. Es ist 
also nicht zulässig, ein Datum beim Betroffenen zu erheben 
und die weiteren genannten Daten aus allgemein zugängli- 
chen Quellen zu erheben und nach Absatz 3 Satz 3 hinzuzu- 
speichem. Eine gesetzliche Erlaubnis ist insofern gerechtfer- 
tigt, weil dem Betroffenen die verantwortliche Stelle durch 
die Erhebung der Daten im Rahmen der Zweckbestimmung 
eines rechtsgeschäftlichen Schuldverhältnisses oder rechts- 
geschäftsähnlichen Schuldverhältnisses bekannt ist und der 
Betroffene auch damit rechnen kann, dass ihm die verant- 
wortliche Stelle Werbung für weitere eigene Angebote der 
verantwortlichen Stelle zukommen lässt oder im Interesse 
der Fortsetzung des bestehenden rechtsgeschäftlichen oder 
rechtsgeschäftsähnlichen Schuldverhältnisses eigene Markt- 
oder Meinungsforschung betreibt. Insoweit ist es ausrei- 
chend, dass der Betroffene gegenüber der ihm auch bekarm- 
ten verantwortlichen Stelle Gebrauch von seinem Wider- 
spruchsrecht nach § 28 Absatz 4 Satz 1 machen kann. Eine 
Kennzeichnung der Daten, um deren Herkunft nachvollzie- 
hen zu können, ist in dieser Konstellation damit auch ent- 
behrlich. Nicht erfasst von Absatz 3 Satz 2 Nummer 1 ist 
hingegen die Verwendung, die nicht der eigenen Markt- oder 
Meinungsforschung oder Zwecken der Werbung dient, die 
nicht eigene Angebote betreffen. Insoweit rechnet der Be- 
troffene nicht damit, dass die verantwortliche Stelle seine 
personenbezogenen Daten, die sie im Rahmen eines rechts- 
geschäftlichen oder rechtsgeschäftsähnlichen Schuldverhält- 
nisses erhoben hat, ohne weiteres Zutun des Betroffenen 
auch dazu verwendet, sie an weitere Dritte zu veräußern oder 
zur Verfügung zu stellen, damit diese an den Betroffenen mit 
ihren Angeboten herantreten. 

Nach Absatz 3 Satz 2 Nummer 2 muss es sich um Werbung, 
Markt- oder Meinungsforschung gegenüber freiberuflich 
oder gewerblich Tätigen handeln. Die Verwendung der per- 
sonenbezogenen Daten muss für diese Zwecke erforderlich 
sein und sie muss sich auf die Geschäftsadresse der Betrof- 
fenen beziehen. Letzteres soll verhindern, dass freiberuflich 
oder gewerblich Tätige in ihrer Eigenschaft als Privatperson 
an ihre private Adresse Werbung erhalten, die als Geschäfts- 
werbung deklariert wird. Geschäftliche Werbung, Markt- 
und Meinungsforschung unterliegen dem Bundesdaten- 
schutzgesetz nur dann, wenn die dabei verwendeten Daten 
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z. B. aufgrund der Firmierung oder geringen Größe eines 
Unternehmens einer bestimmten oder bestimmbaren Person 
zuordenbar und nach § 3 Absatz 1 personenbezogene Daten 
sind. Für weite Bereiche der geschäftlichen Werbung trifft 
dies nicht zu. Insoweit besteht eine unterschiedliche Behand- 
lung zum Teil vergleichbarer Unternehmen in Bezug auf ge- 
schäftliche Werbung. Sie rechtfertigt, bei solchen freiberuf- 
lich oder gewerblich Tätigen keine Einwilligung vorzusehen 
und damit die unterschiedliche Behandlung gegenüber den 
Unternehmen zu erweitern, die bezüglich geschäftlicher 
Werbung keinen Anforderungen des Bundesdatenschutzge- 
setzes unterliegen, sondern weiterhin eine gesetzliche Er- 
laubnis vorzusehen. Auf diese Weise wird das informationei- 
le Selbstbestimmungsrecht der betroffenen freiberuflich 
oder gewerblich Tätigen auch nicht übermäßig einge- 
schränkt, da ihnen weiterhin das Widerspruchsrecht erhalten 
bleibt. Eine gesetzliche Erlaubnis ist auch gerechtfertigt, 
weil Werbung, Markt- und Meinungsforschung im geschäft- 
lichen Verkehr zwischen Unternehmen mit Verbraucherwer- 
bung nicht vergleichbar sind. Sie wird von den betroffenen 
gewerblich oder freiberuflich Tätigen weniger als ein Ein- 
griff in ihr informationelles Selbstbestimmungsrecht wahr- 
genommen als - im Übermaß - ein Eingriff in ihren einge- 
richteten und ausgeübten Gewerbebetrieb. Werbung, Markt- 
und Meinungsforschung verfolgen insoweit einen anderen 
Zweck als bei Verbrauchern. Bei gewerblich oder freiberuf- 
lich Tätigen erleichtert sie die Marktorientierung, z. B. hin- 
sichtlich der Angebote und Preise von Wettbewerbern, und 
eröffnet Marktchancen und Investitionsanreize, z. B. bei 
neuen Entwicklungen. Daher ist bei gewerblich oder freibe- 
ruflich Tätigen potentiell von einem größeren Interesse am 
Erhalt der mit der Werbung verbundenen Inforaiationen aus- 
zugehen als allgemein bei Verbrauchern, die zueinander 
nicht in Konkurrenz stehen. Vor dem Hintergrund der an- 
dersartigen Qualifikation und dem damit verbundenen gerin- 
geren Interesse gewerblich oder freiberuflich Tätiger, die 
Herkunft auf ihre - in aller Regel allgemein zugängliche - 
Geschäftsadresse bezogene Werbung zurückzuverfolgen, 
kann von einer Kennzeichnung der Herkunft abgesehen wer- 
den. Die Regelung zielt auf eine Entlastung der in diesem 
Bereich besonders stark vertretenen spezialisierten kleinerer 
und mittlerer Unternehmen. 

Nach Absatz 3 Satz 2 Nummer 3 muss die Verwendung für 
Zwecke der Spendenwerbung einer verantwortlichen Stelle 
erfolgen, wenn Spenden an diese gemäß § 10b Absatz 1 und 
§ 34g des Einkommensteuergesetzes steuerbegünstigt sind. 
Insofern wird der bestehende Zustand beibehalten. Zu den 
steuerbegünstigten Zwecken gehören u. a. gemeinnützige, 
mildtätige und kirchliche Zwecke nach den §§52 bis 54 der 
Abgabenordnung. Die Ausnahme ist beschränkt auf die Ver- 
wendung der Daten für Zwecke der Spendenwerbung. Die 
Regelung begünstigt, in Anlehnung an bestehende steuer- 
liche Vergünstigungen, den finanziellen Fortbestand der Or- 
ganisationen, in dem die werbliche Ansprache von Spendern 
erleichtert wird. Auch insoweit ist es ausreichend, dass der 
Betroffene Gebrauch von seinem Widerspruchsrecht nach 
§ 28 Absatz 4 Satz 1 machen kann. Im Hinblick auf das 
öffentliche Interesse, das an Empfängern steuerbegünstigter 
Spenden einerseits besteht und den erheblichen Aufwand, 
den eine Kennzeichnung andererseits mit sich bringen wür- 
de, ist insoweit eine Pflicht zur Kennzeichnung der Herkunft 
der Daten verzichtbar. 


Nach Absatz 3 Satz 3 darf die verantwortliche Stelle für 
Zwecke der Werbung für eigene Angebote oder der eigenen 
Markt- oder Meinungsforschung zu den in Satz 2 Nummer 1 
genaimten Daten (Berufs-, Branchen- oder Geschäfts- 
bezeichnung, Name, Titel, akademischer Grad, Anschrift, 
Geburtsjahr), die sie beim Betroffenen nach Absatz 1 Satz 1 
Nummer 1 erheben muss, weitere Daten hinzuspeichem. Die 
Beschränkung auf das „Hinzuspeichem“ stellt klar, dass die 
verantwortliche Stelle die weiteren Daten gestützt auf eine 
andere Befugnis rechtmäßig erhoben, z. B. nach Absatz 1 
Satz 1 Nummer 3, oder rechtmäßig übermittelt bekommen 
haben muss. Absatz 3 Satz 3 ist keine eigene Erhebungs- 
oder Übermittlungsbefugnis. Absatz 3 Satz 3 soll es der ver- 
antwortlichen Stelle ermöglichen, einen eigenen Daten- 
bestand, der direkt beim Betroffenen erhoben wurde, für 
Zwecke der Eigenwerbung oder der eigenen Markt- oder 
Meinungsforschung zu selektieren, um die bestehenden 
Kunden gezielter ansprechen zu können. Die Transparenz 
der Datenverwendung bleibt dabei weitgehend gewahrt, da 
der Datenverwender im Rahmen der Eigenwerbung oder 
eigenen Markt- oder Meinungsforschung für den Betroffe- 
nen erkennbar bleibt, z. B. zur Wahrnehmung des Wider- 
spmchsrechts nach Absatz 4 Satz 1 . 

Nach Absatz 3 Satz 4 ist die Nutzung für Zwecke der Wer- 
bung, Markt- oder Meinungsforschung zudem zulässig, 
soweit sie zusammen mit Eigenwerbung oder eigener Markt- 
oder Meinungsforschung nach Satz 2 Nummer 1 erfolgt, 
aber auch sofern sie zusammen mit der Durchfühmng eines 
rechtsgeschäftlichen Schuldverhältnisses oder rechtsge- 
schäftsähnlichen Schuldverhältnisses, z. B. im Rahmen der 
Zusendung der Leistung oder der Rechnung, erfolgt. Die 
Nutzung für „Zwecke der Werbung, Markt- oder Meinungs- 
forschung“ verdeutlicht, dass es sich auch um Fremdwer- 
bung oder fremdbezogene Markt- oder Meinungsforschung 
handeln kann. Die Beschränkung auf „Nutzung“ stellt aller- 
dings klar, dass die verantwortliche Stelle die personenbezo- 
genen Daten, die sie hierfür drittbezogen nutzen will, selbst 
nach Absatz 1 Satz 1 Nummer 1 erhoben haben muss. Dies 
gilt auch mittelbar, soweit auf Satz 2 Nummer 1 Bezug ge- 
nommen wird. Absatz 3 Satz 4 ist keine eigene Erhebungs- 
oder Übermittlungsbefugnis. Erlaubt wird damit so genannte 
Beipackwerbung, die insbesondere im Unternehmens ver- 
bünd und in Konzernen von Bedeutung, hierauf aber nicht 
beschränkt ist. Die Regelung zielt auch auf eine Entlastung 
spezialisierter kleinerer und mittlerer Unternehmen. Wie in 
Satz 3 bleibt die Transparenz der Datennutzung weitgehend 
gewahrt, da der Datennutzer im Rahmen der Eigenwerbung, 
der eigenen Markt- oder Meinungsforschung oder der 
Durchführung des eigenen rechtsgeschäftlichen Schuldver- 
hältnisses oder rechtsgeschäftsähnlichen Schuldverhältnis- 
ses für den Betroffenen erkennbar bleibt, z. B. zur Wahr- 
nehmung des Widerspruchsrechts nach Absatz 4 Satz 1 . 
Insoweit erübrigt sich auch eine Herkunftskennzeichnung. 
Eine weitere tatsächliche Eingrenzung in der Praxis besteht 
darin, dass der Betroffene zwar Fremdwerbung erhält, diese 
aber dem gleichzeitig in Erscheinung tretenden Datennutzer 
zuordnet. Für den Betroffenen ist transparent, wer seine per- 
sonenbezogenen Daten für die Fremdwerbung kommerziell 
nutzt. Dies wirkt sich potentiell negativ für den Datennutzer 
aus. Packt er z. B. zu viel, unerwünschte oder qualitativ min- 
derwertige Werbung bei, droht ihm ein Vertrauensschaden 
bei dem Betroffenen oder gar dessen Widerspruch nach 
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Absatz 4 Satz 1 . Daher ist nicht zu erwarten, dass sich auf 
die Ausnahme des Satzes 4 gestützte missbräuchliche Ge- 
schäftsformen etablieren. 

Nach Absatz 3 Satz 5 ist die Verwendung personenbezoge- 
ner Daten nach den Sätzen 2 bis 4 unbeschadet der dortigen 
Voraussetzungen nur zulässig, soweit schutzwürdige Interes- 
sen des Betroffenen nicht entgegenstehen. Satz 5 gewähr- 
leistet, wie die bestehende Regelung des § 28 Absatz 3 
Satz 1 Nummer 3 und § 28 Absatz 1 Satz 1 Nummer 2, die 
notwendige Flexibilität für die gesetzlichen Erlaubnistat- 
bestände, im Einzelfall zu abweichenden Ergebnissen zu 
gelangen, da anders als bei Satz 1 keine Einwilligung des 
Betroffenen als Manifestation seiner informationeilen 
Selbstbestimmung bekannt ist und zugrunde gelegt werden 
kaim. 

Absatz 3 Satz 6 enthält die im Bundesdatenschutzgesetz üb- 
liche Zweckbindung, wie sie sich unter anderem in Absatz 5 
Satz 1 für Dritte befindet. 

Nach Absatz 3 a Satz 1 unterliegt die Einwilligung der allge- 
meinen Form des § 4a Absatz 1 Satz 3 des Bundesdaten- 
schutzgesetzes, d. h. die Einwilligung bedarf der Schrift- 
form, soweit nicht wegen besonderer Umstände eine andere 
Form angemessen ist. Soweit eine andere Fonn angemessen 
ist, geht es um ein Abweichen von der Erklärungsform. Es 
bedarf jedoch weiterhin einer ausdrücklichen, das Einver- 
ständnis des Betroffenen dokumentierenden Erklärung. Eine 
konkludente, stillschweigende oder gar mutmaßliche Ein- 
willigung reicht daher nicht aus. Wann besondere Umstände 
des Einzelfalls vorliegen, kann nicht abstrakt dargestellt 
werden, sondern ist abhängig von den spezifischen Umstän- 
den der Verarbeitung. Die grundsätzlich vorgesehene 
Schriftform soll ohne Zweifel dokumentieren, dass der Be- 
troffene sich damit einverstanden erklärt hat, dass seine per- 
sonenbezogenen Daten auch für fremde Zwecke der Wer- 
bung oder Markt- oder Meinungsforschung verwendet 
werden können. Die Schriftfonn soll dabei ermöglichen, et- 
waige Grenzen der Einwilligung (z. B. Übermittlung nur 
innerhalb des Konzerns oder nur an bestimmte Dritte oder 
nur Nutzung aber keine Übermittlung) nachzuvollziehen. 
Zugleich soll die Schriftform dem Betroffenen die Bedeu- 
tung der Einwilligung vor Augen führen, da die hierdurch 
ermöglichte Übermittlung an Dritte es ihm erschwert, von 
seinem Widerrufsrecht Gebrauch zu machen. Wird die Ein- 
willigung in anderer Fonn als der Schriftform erteilt, hat die 
verantwortliche Stelle dem Betroffenen den Inhalt der Ein- 
willigung schriftlich zu bestätigen, damit er kontrollieren 
kaim, ob die verantwortliche Stelle die erteilte Einwilligung 
korrekt dokumentiert hat. Einer schriftlichen Bestätigung 
bedarf es nicht, wenn die verantwortliche Stelle bestimmte 
technische Vorkehrungen trifft, die sich in dieser Form be- 
reits in § 94 des Telekommunikationsgesetzes und § 13 
Absatz 2 des Telemediengesetzes wiederfmden. Die verant- 
wortliche Stelle hat bei einer elektronisch erklärten Einwilli- 
gung sicherzustellen, dass die Einwilligung protokolliert 
wird und der Betroffene den Inhalt der Einwilligung jeder- 
zeit abrufen und die Einwilligung jederzeit mit Wirkung für 
die Zukunft widerrufen kann. Satz 2 sieht vor, dass die Ein- 
willigung, wenn sie im Zusammenhang mit anderen Erklä- 
rungen erteilt wird, nur wirksam ist, weim der Betroffene 
durch Ankreuzen, durch eine gesonderte Unterschrift oder 
ein anderes, ausschließlich auf die Einwilligung in die Wei- 
tergabe seiner Daten für Werbezwecke bezogenes Tun zwei- 


felsfrei zum Ausdruck bringt, dass er die Einwilligung be- 
wusst erteilt. § 4a Absatz 1 Satz 4 sieht insoweit lediglich 
vor, dass die Einwilligung besonders hervorgehoben werden 
muss, z. B. durch eine auffällige typographische Gestaltung 
(größere Schrifttype, Fettdruck, Umrahmung). Satz 2 will 
für den hier zu regelnden Bereich sicherstellen, dass es kei- 
nen Zweifel darüber gibt, dass der Betroffene seine Einwilli- 
gung in die Weitergabe seiner Daten für Werbezwecke gege- 
ben hat. Die Bundesregierung wird die Auswirkungen des 
Formerfordemisses aufmerksam beobachten und drei Jahre 
nach Inkrafttreten ergebnisoffen evaluieren. 

Absatz 3b sieht vor, dass die verantwortliche Stelle sich die 
Einwilligung des Betroffenen nach Absatz 3 Satz 1 in eine 
Verwendung seiner personenbezogenen Daten, die nicht 
Zwecken der Werbung für eigene Angebote oder der eigenen 
Markt- oder Meinungsforschung dient, nicht auf dem Wege 
verschaffen darf, dass sie hiervon den Abschluss eines Ver- 
trages abhängig macht. Dieses Kopplungsverbot von Ver- 
tragsabschluss und Einwilligung ist aufgrund seiner Ein- 
schränkung der Vertragsgestaltungsfreiheit auf die Fälle 
begrenzt, in denen dem Betroffenen ein anderer Zugang zu 
gleichwertigen vertraglichen Gegenleistungen ohne die Ein- 
willigung nicht oder nicht in zumutbarer Weise möglich ist. 
Die Formulierung lehnt sich damit an die bisherigen be- 
reichsspezifischen Kopplungsverbote in § 95 Absatz 5 des 
Telekommunikationsgesetzes und in § 12 Absatz 3 des Tele- 
mediengesetzes an und ergänzt diese durch die Wörter „ohne 
die Einwilligung“. Erfasst werden soll auf diese Weise die 
Konstellation, dass die marktbeteiligten Unternehmen für 
sich genommen jeweils keine marktbeherrschende Stellung 
besitzen und dem Betroffenen daher ein Zugang zu gleich- 
wertigen vertraglichen Leistungen an sich in zumutbarer 
Weise möglich ist, z. B. durch Absprachen unter den markt- 
beteiligten Unternehmen, aber marktweit immer nur, wenn 
er seine Einwilligung erteilt. Umgekehrt formuliert: Ein Zu- 
gang ist nicht in zumutbarer Weise möglich, wenn er nur mit 
Einwilligung nach Absatz 3 Satz 1 möglich ist. 

Die Änderungen in Absatz 4 Satz 1 und 3 sind redaktionelle 
Anpassungen an die Formulierung des Absatzes 3. 

Die Änderung in Satz 2 und der neue Satz 4 bezwecken eine 
Stärkung des Widerspruchsrechts der Betroffenen. Nach 
Satz 1 besitzen die Betroffenen die Möglichkeit, der Ver- 
arbeitung oder Nutzung ihrer personenbezogenen Daten für 
Zwecke der Werbung, Markt- oder Meinungsforschung zu 
widersprechen. Nach dem bisherigen Satz 2 ist der Betroffe- 
ne hierüber erst bei der werblichen Ansprache zu unterrich- 
ten, d. h. nach einer Verarbeitung oder Nutzung seiner perso- 
nenbezogenen Daten für diese Zwecke. Satz 2 sieht vor, dass 
der Betroffene bei der Begründung eines rechtsgeschäft- 
lichen Schuldverhältnisses oder rechtsgeschäftsähnlichen 
Schuldverhältnisses künftig auch zu diesem Zeitpunkt auf 
sein Widerspruchsrecht hinzuweisen ist, um bereits zu die- 
sem Zeitpunkt, vor der Verarbeitung oder Nutzung zu 
Zwecken der Werbung, Markt- oder Meinungsforschung, 
Kenntnis von dem Widerspruchsrecht zu erlangen und gege- 
benenfalls unmittelbar Gebrauch zu machen. Hieran an- 
knüpfend sieht Satz 4 vor, dass für den Widerspruch keine 
strengere Form verlangt werden darf als für die Begründung 
des rechtsgeschäftlichen Schuldverhältnisses oder rechts- 
geschäftsähnlichen Schuldverhältnisses. Derzeit ist teilweise 
zu beobachten, dass zwar mit geringen Formerfordemissen 
ein Vertragsabschluss möglich ist, z. B. durch elektronische 
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Erklärung im Internet, an den Widerspruch dagegen höhere 
Anforderungen gestellt werden, z. B. die Schriftform. 

Die Änderung in Absatz 9 Satz 4 ist eine redaktionelle 
Anpassung an die Verschiebung des Erlaubnistatbestandes 
des bestehenden Absatzes 3 Satz 1 Nummer 2 zu Absatz 2 
Nummer 2 Buchstabe b. 

Zu Nummer 6 (§ 29) 

Die Änderungen in § 29 Absatz 1 und 2 sind notwendige 
redaktionelle Änderungen und Folgeänderungen, durch die 
die Änderungen in § 28 Absatz 3 bis 3b auch auf die ge- 
schäftsmäßige Datenerhebung und -Verarbeitung übertragen 
werden. 

Die Änderungen in Absatz 1 Satz 1 sind redaktionelle Anpas- 
sungen an § 28. Die Vorschrift in Absatz 1 Satz 2 sieht vor, 
dass die Änderungen in § 28 Absatz 3 bis 3b auch für die ge- 
schäftsmäßige Erhebung, Speicherung oder Veränderung per- 
sonenbezogener Daten zum Zweck der Übermittlung gelten. 

Die Änderungen in Absatz 2 Satz 1 sind redaktionelle Folge- 
änderungen aus der Streichung des § 28 Absatz 3 Satz 1 
Nummer 3. Die Vorschrift in Absatz 2 Satz 2 sieht vor, dass 
die Änderungen in § 28 Absatz 3 bis 3b auch für die ge- 
schäftsmäßige Übermittlung im Rahmen der Zwecke nach 
§ 29 Absatz 1 gelten. 

Zu Nummer 7 (§ 33 Absatz 2 Satz 1 Nummer 8 
Buchstabe b) 

Es handelt sich um eine Folgeänderung der unter Nummer 6 
vorgesehenen Änderung. 

Zu Nummer 8 (§ 42a) 

Die Vorschrift enthält eine Informationspflicht für nicht- 
öffentliche Stellen und ihnen datenschutzrechtlich gleichge- 
stellte öffentlich-rechtliche Wettbewerbsuntemehmen. Sons- 
tige öffentliche Stellen werden nicht einbezogen. Die Infor- 
mationspflicht besteht, wenn bestimmte besonders sensible 
personenbezogene Daten Dritten unrechtmäßig zur Kenntnis 
gelangen und schwerwiegende Beeinträchtigungen für die 
Rechte oder schutzwürdigen Interessen der Betroffenen dro- 
hen. Die Vorschrift knüpft an einen Vorschlag der Kommis- 
sion der Europäischen Gemeinschaften zur Änderung der 
Richtlinie 2002/58/EG über die Verarbeitung personenbezo- 
gener Daten und den Schutz der Privatsphäre in der elektro- 
nischen Kommunikation (KOM(2007) 698 endg.) und Rege- 
lungen im Recht der Vereinigten Staaten von Amerika an. 

Die Infonnationspflicht ist nach Satz 1 Nummer 1 bis 4 auf 
besonders sensible personenbezogene Daten aus dem Verfü- 
gungsbereich der verantwortlichen Stelle begrenzt. Hierzu 
gehören besondere Arten personenbezogener Daten nach § 3 
Absatz 9, personenbezogene Daten, die einem Berufsge- 
heimnis unterliegen, personenbezogene Daten, die sich auf 
strafbare Handlungen oder Ordnungswidrigkeiten oder den 
Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten 
beziehen, und personenbezogene Daten zu Bank- oder Kre- 
ditkartenkonten. Für Bestandsdaten nach § 3 Nummer 3 des 
Telekommunikationsgesetzes und Verkehrsdaten nach § 3 
Nummer 30 des Telekommunikationsgesetzes sowie Be- 
standsdaten nach § 14 des Telemediengesetzes und Nut- 
zungsdaten nach § 15 des Telemediengesetzes ist eine be- 
reichsspezifische Regelung im Telekommunikationsgesetz 
und im Telemediengesetz vorgesehen. 


Voraussetzung ist, dass die verantwortliche Stelle anhand 
von tatsächlichen Anhaltspunkten, z. B. aus dem eigenen 
Sicherheitsmanagement oder durch Hinweise von Strafver- 
folgungsorganen und unter Einbeziehung des Beauftragten 
für den Datenschutz nach § 4g Absatz 1 Satz 1 feststellt, 
dass bei der verantwortlichen Stelle gespeicherte personen- 
bezogene Daten unrechtmäßig übermittelt oder auf sonstige 
Weise Dritten nach § 3 Absatz 8 Satz 2 zur Kenntnis gelangt 
sind und schwerwiegende Beeinträchtigungen für die Rechte 
oder schutzwürdigen Interessen der Betroffenen drohen. 
Letzteres bestimmt sich unter anderem nach der Art der be- 
troffenen Daten und den potenziellen Auswirkungen der 
unrechtmäßigen Kenntniserlangung durch Dritte auf die Be- 
troffenen (z. B. materielle Schäden bei Kreditkarteninforma- 
tionen oder soziale Nachteile einschließlich des Identitätsbe- 
trugs). Die verantwortliche Stelle hat - unter Einbeziehung 
des Beauftragten für den Datenschutz nach § 4g Absatz 1 
Satz 1 - in diesem Fall sowohl die zuständige Datenschutz- 
aufsichtsbehörde als auch die Betroffenen zu informieren. 
Bei nichtöffentlichen Stellen ist die zuständige Datenschutz- 
aufsichtsbehörde grundsätzlich die Aufsichtsbehörde nach 
§ 38, bei Post- und Telekommunikationsuntemehmen der 
Bundesbeauftragte für den Datenschutz und die Informa- 
tionsfreiheit nach § 24. 

Die Benachrichtigung soll nach Satz 1 sowohl gegenüber der 
Aufsichtsbehörde als auch den Betroffenen unverzüglich, 
d. h. nach der Legaldefmition des § 12 1 des Bürgerlichen Ge- 
setzbuchs ohne schuldhaftes Zögern, erfolgen. Satz 2 sieht 
dabei eine Differenzierung vor. Während die Benachrichti- 
gung der Aufsichtsbehörden aufgrund ihrer Verschwiegen- 
heitspflicht auch vor der Beseitigung von Datensicherheits- 
lücken und im Falle laufender Strafverfolgungsmaßnahmen 
erfolgen muss, stellt Satz 2 für die Benachrichtigung der Be- 
troffenen klar, dass ein schuldhaftes Zögern insbesondere 
dann nicht gegeben ist, soweit die Datensicherungspflichten 
des § 9 oder Interessen der Strafverfolgung einer Veröffent- 
lichung der Datenschutzverletzung vorläufig noch entgegen- 
stehen. Im ersteren Fall zielt die Regelung darauf ab, dem 
Verpflichteten die Möglichkeit zu geben, etwaige technische 
Sicherheitslücken, unter deren Ausnutzung die Datenschutz- 
verletzung erfolgte, zu analysieren und so weit wie möglich 
zu beheben, bevor breitere Kreise von der Lücke Kenntnis 
erhalten. Andernfalls besteht Gefahr, dass Dritte von dieser 
Kenntnis profitieren, um selbst die fragliche Sicherheitslücke 
auszunutzen. Dies entspricht dem in Fachkreisen mit 
„Responsible Disclosure“ („Verantwortungsvolle Offen- 
legung“) bezeichneten Vorgehen. Nach den Grundsätzen der 
„Responsible Disclosure“ wird nach dem Finden einer 
Schwachstelle als erstes der Hersteller informiert. Erst nach 
einer angemessenen Frist werden die Schwachstelle und die 
diese ausnutzende Software veröffentlicht. Der Hersteller 
soll damit die Möglichkeit bekommen, das Problem zu behe- 
ben, indem er eine neue, sichere Version seiner Software er- 
stellt. Auch soll der Hersteller dadurch in die Lage versetzt 
werden, die Anwender über die neue Version der Software zu 
informieren und sie an die Anwender zeitnah auszuliefem. 
Im zweiten Fall dürfen Ermittlungen der Strafverfolgungs- 
organe bei einem kriminellen Hintergrund durch die Offen- 
legung nicht gefährdet werden. 

Der Inhalt der Benachrichtigung variiert nach dem Empfän- 
ger. Die Benachrichtigung der Betroffenen muss nach Satz 3 
für dessen Verständnishorizont eine Darlegung der Art der 
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Verletzung und Empfehlungen für Maßnahmen zur Minde- 
rung möglicher nachteiliger Folgen enthalten, z. B. beim 
Verlust von Bankdaten. Die Benachrichtigung der Aufsichts- 
behörde muss nach Satz 4 eine Darlegung möglicher nach- 
teiliger Folgen der Verletzung und der vom Betreiber nach 
der Verletzung ergriffenen Maßnahmen enthalten. Dies soll 
die Aufsichtsbehörde in den Stand versetzen sicherzustellen, 
dass der datenschutzrechtliche Verstoß beseitigt wurde. Eine 
Benachrichtigung der Betroffenen kann für die verantwort- 
liche Stelle einen unverhältnismäßigen Aufwand an Kosten 
und Zeit verursachen, z. B. bei einer vorherigen Ermittlung 
der Adressdaten der Betroffenen, sofern diese der verant- 
wortlichen Stelle nicht bekannt sind. An Stelle der direkten 
Benachrichtigung der Betroffenen tritt mit deren Inhalt nach 
Satz 5 eine Information der Öffentlichkeit. Dies wird durch 
Anzeigen, die mindestens eine halbe Zeitungsseite um- 
fassen, in mindestens zwei bundesweit erscheinenden Tages- 
zeitungen sichergestellt. 

Satz 6 enthält ein flankierendes strafrechtliches Verwer- 
tungsverbot, wie es auch in anderen Vorschriften, z. B. § 97 
Absatz 1 Satz 2 der Insolvenzordnung, vorgesehen ist. Da- 
nach dürfen die Benachrichtigung bzw. die darin enthaltenen 
Informationen in einem Strafverfahren oder in einem Ver- 
fahren nach dem Gesetz über Ordnungswidrigkeiten gegen 
den Benachrichtigungspflichtigen oder einen seiner Ange- 
hörigen nach § 52 Absatz 1 der Strafprozessordnung nur mit 
Zustimmung des Benachrichtigungspflichtigen verwendet 
werden. Auf diese Weise wird das Spannungsverhältnis ver- 
fassungskonform aufgelöst, dass der Betroffene entweder 
sich selbst bezichtigt oder nach § 43 Absatz 2 Nummer 7 
sich ordnungswidrig verhält. Dabei ist zu berücksichtigen, 
dass eine Selbstbezichtigung bei juristischen Personen nicht 
der Regelfall ist, für einen Teil der betroffenen Unternehmen 
(z. B. Ein-Mann-GmbH) aber jedenfalls tatbestandlich in 
Betracht kommt. 

Zu Nummer 9 (§ 43) 

Die Änderungen in § 43 zielen auf eine Erweiterung der 
Bußgeldtatbestände, indem im Vollzug beklagte Lücken bei 
den Bußgeldtatbeständen geschlossen werden und der beste- 
hende Bußgeldrahmen erhöht sowie die ausdrückliche Mög- 
lichkeit eingeräumt wird, bei der Bußgeldbemessung den 
wirtschaftlichen Vorteil des Täters aus der Ordnungswidrig- 
keit zu übersteigen. 

In § 43 Absatz 1 werden drei neue Bußgeldtatbestände auf- 
genommen: Nach Nummer 2a handelt die speichernde Stelle 
ordnungswidrig, wenn sie entgegen § 1 0 Absatz 4 Satz 3 bei 
einem automatisierten Abrufverfahren nicht gewährleistet, 
dass die Übermittlung personenbezogener Daten durch Ab- 
ruf durch geeignete Stichprobenverfahren festgestellt und 
überprüft werden kann. Die Übermittlung personenbezoge- 
ner Daten durch Abruf, die vor allem bei größeren Daten- 
beständen und einer größeren Anzahl von Übermittlung an- 
gewandt wird, ist aus Sicht des Rechts auf informationeile 
Selbstbestimmung gefahrgeneigt, weil die übermittelnde 
Stelle die personenbezogenen Daten lediglich zum Abruf 
bereitstellt, vor der Übermittlung durch Abruf jedoch im 
Regelfall keine weitere Prüfung der Zulässigkeit vomimmt. 
Diese fehlende Vorabprüfung wird datenschutzrechtlich un- 
ter anderem dadurch aufgefangen, dass nachträglich durch 
Stichprobenverfahren gewährleistet wird, dass die übermit- 
telnde Stelle die Zulässigkeit des Abrufs überprüfen kann. 


Aus Sicht der Aufsichtspraxis wird dieses Erfordernis des 
Öfteren nicht beachtet und kann bislang mangels Bußgeld- 
bewehrung auch nur unzureichend gegen die verantwortli- 
che Stelle durchgesetzt werden. Nach Nummer 2b handelt 
der Auftraggeber ordnungswidrig, werm er entgegen § 11 
Absatz 2 Satz 2 den Auftrag nicht schriftlich erteilt oder 
nicht die vorgegebenen Festlegungen hinsichtlich der Daten- 
erhebung oder -Verwendung sowie die technischen und orga- 
nisatorischen Maßnahmen und Unterauftragsverhältnisse 
festlegt. Die Aufsichtspraxis weist daraufhin, dass ein voll- 
ständiger schriftlicher Auftrag die Ausnahme ist. Die Buß- 
geldbewehrung soll es der Praxis ermöglichen, die gesetzlich 
vorgesehenen Rahmenbedingungen der Auftragsdatenverar- 
beitung besser durchsetzen zu können. Nach Nummer 3a 
handelt die verantwortliche Stelle ordnungswidrig, die ent- 
gegen § 28 Absatz 4 Satz 4 für den Widerspruch des Betrof- 
fenen, seine personenbezogenen Daten für Zwecke der Wer- 
bung, Markt- oder Meinungsforschung zu verwenden, eine 
strengere Form verlangt als für die Begründung des rechts- 
geschäftlichen oder rechtsgeschäftsähnlichen Schuldverhält- 
nisses, in dessen Rahmen diese Daten erhoben werden. 

In § 43 Absatz 2 werden zwei neue Bußgeldtatbestände auf- 
genommen und ein bestehender Bußgeldtatbestand geän- 
dert: In Nummer 5 wird die Angabe „, indem er sie an Dritte 
weitergibt“ gestrichen. Dadurch wird die zweckwidrige Nut- 
zung in den dort genannten Fällen allgemein bußgeldbe- 
wehrt und nicht länger auf den Fall beschränkt, dass die 
zweckwidrige Nutzung in der Weitergabe an Dritte besteht. 
Nach Nummer 5a handelt die verantwortliche Stelle ord- 
nungswidrig, wenn sie entgegen § 28 Absatz 4 Satz 1, d. h. 
trotz des Widerspruchs eines Betroffenen, seine personenbe- 
zogenen Daten für Zwecke der Werbung, der Markt- oder 
Meinungsforschung verarbeitet oder nutzt. Nach der neuen 
Nummer 7 handelt schließlich die Stelle ordnungswidrig, die 
entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, 
nicht vollständig oder nicht rechtzeitig macht. 

Der derzeitige Bußgeldrahmen für Verstöße gegen den Buß- 
geldkatalog des § 43 Absatz 1 beträgt fünfundzwanzig- 
tausend Euro, für Verstöße gegen den Bußgeldkatalog des 
§ 43 Absatz 2 beträgt er zweihundertfünfzigtausend Euro. 
Der Bußgeldrahmen geht zurück auf die Überarbeitung der 
Straf- und Bußgeldvorschriften im Jahre 2001. Seitdem hat 
sich die Inforaiationstechnik weiter verbreitet und durch- 
dringt zunehiuend auch wirtschaftlich relevante Bereiche 
des alltäglichen Lebens. Damit einher gehen eine wachsende 
wirtschaftliche Bedeutung personenbezogener Daten und 
ein gesteigertes Missbrauchspotential, das mittlerweile ge- 
schäftsmäßig genutzt wird. Der Abschreckungseffekt des 
bisherigen Bußgeldrahmens ist dadurch erodiert, was sich 
u. a. in einer gestiegenen Zahl öffentlich bekannt geworde- 
ner Verstöße niederschlägt. Die gestiegene, auch wirtschaft- 
liche Bedeutung des Datenschutzrechts spiegelt sich nicht 
mehr ausreichend in dem bestehenden Bußgeldrahmen wi- 
der, der hinter jüngeren, vergleichbaren Bußgeldrahmen des 
bereichsspezifischen Datenschutzrechts zurückbleibt. So 
sieht der Bußgeldrahmen im Bereich des Telekommunika- 
tionsrechts in § 149 Absatz 2 des Telekommunikationsgeset- 
zes und auch der Bußgeldrahmen des Entwurfs für ein Gen- 
diagnostikgesetz in § 26 Absatz 2 einen Bußgeldrahmen von 
dreihunderttausend Euro vor. Der Bußgeldrahmen für Ver- 
stöße gegen materielle Vorschriften im Bußgeldkatalog des 
§ 43 Absatz 2 ist daher moderat von zweihundertfünfzig- 
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tausend Euro auf dreihunderttausend Euro anzupassen. Zu- 
gleich wird der Bußgeldrahmen für Verstöße gegen Verfah- 
rensvorschriften im Bußgeldkatalog des § 43 Absatz 1 von 
fünfundzwanzigtausend Euro auf fünfzigtausend Euro er- 
höht. Dadurch soll auch der relativ gestiegenen Bedeutung 
der Verfahrensvorschriften, wie etwa die Meldepflicht auto- 
matisierter Verarbeitungen gegenüber den Aufsichtsbehör- 
den oder die Pflicht zur Bestellung eines Beauftragten für 
den Datenschutz, gegenüber den materiellen Schutzvor- 
schriften Rechnung getragen werden. 

Die Sätze 2 und 3 treten ergänzend zu der Verschärfüng des 
Bußgeldrahmens. Sie stellen sicher, dass Tätern aus der Ord- 
nungswidrigkeit kein wirtschaftlicher Vorteil verbleibt und 
einen Anreiz für weitere Verstöße bietet. Satz 2 sieht inso- 
weit als Vorgabe für die Bemessung der Geldbuße vor, dass 
sie den wirtschaftlichen Vorteil übersteigen soll. Soweit hier- 
für im Einzelfall auch der nun erhöhte Bußgeldrahmen nicht 
ausreicht, kann er überschritten werden. Die Regelungen 
sollen in Anlehnung an bereichsspezifische Vorbilder, z. B. 
in § 149 Absatz 3 Satz 2, 3 des Telekommunikationsgeset- 
zes, eine Hervorhebung und Klarstellung für die Aufsichts- 
behörden in der Vollzugspraxis mit sich bringen, die in der 
Vergangenheit aufgrund rechtlicher oder tatsächlicher Zwei- 
fel von der Möglichkeit keinen Gebrauch gemacht haben. 

Zu Nummer 10 (§ 47) 

Die Vorschrift sieht eine Übergangsvorschrift von 36 Mona- 
ten vor mit Blick auf die neuen Anforderungen an die Erhe- 
bung personenbezogener Daten. Mit dem Stichtag 1 . Juli 
2012 gelten die neuen Anforderungen. Die betroffenen ver- 
antwortlichen Stellen werden daher bereits vor dem Inkraft- 
treten zum 1. Juli 2012 beginnen müssen, ihre Datenerhe- 
bung schrittweise umzustellen. 

Zu Artikel 3 

Zu Nummer 1 (§ 11 Absatz 3) 

Es handelt sich um eine redaktionelle Folgeänderung zu 
Nummer 2. 

Zu Nummer 2 (§ 12 Absatz 3) 

Es handelt sich um eine Änderung des Telemediengesetzes, 
die aus der Einführung eines entsprechenden Kopplungsver- 
botes im Bundesdatenschutzgesetz folgt. Bisher besteht das 
eingeschränkte Kopplungsverbot nach § 12 Absatz 3 des 
Telemediengesetzes als eine Spezialregelung für Tele- 
medienanbieter. Dafür besteht kein Anlass mehr, denn die 
allgemeinen Datenschutzregeln gelten nach § 12 Absatz 4 
des Telemediengesetzes auch für Telemedienanbieter. 

Zu Nummer 3 (§ 15a) 

Die Vorschrift des § 42a des Bundesdatenschutzgesetzes soll 
bereichsspezifisch auch für Bestands- und Nutzungsdaten 
nach den §§ 14, 15 des Telemediengesetzes Anwendung fin- 
den. 

Zu Nummer 4 (§ 16 Absatz 2) 

Es handelt sich um eine Folgeänderung zu Nummer 2. Dabei 
entfällt die Bußgeldbewehrung des Kopplungs Verbots, da 
§ 28 Absatz 3b (neu) des Bundesdatenschutzgesetzes nicht 
bußgeldbewehrt ist. 


Zu Artikel 4 

Zu Nummer 1 (§ 93 Absatz 3) 

Die Vorschrift des § 42a des Bundesdatenschutzgesetzes soll 
bereichsspezifisch auch für Bestands- und Verkehrsdaten 
nach § 3 Nummer 3 und 30 des Telekommunikationsgeset- 
zes Anwendung finden. 

Zu Nummer 2 (§ 95 Absatz 5) 

Es handelt sich um eine Änderung des Telekommunikations- 
gesetzes, die aus der Einführung eines entsprechenden 
Kopplungsverbotes im Bundesdatenschutzgesetz folgt. Bis- 
her besteht das eingeschränkte Kopplungsverbot nach § 95 
Absatz 5 des Telekommunikationsgesetzes als eine Spezial- 
regelung für Anbieter von Telekommunikationsdiensten. 
Aus der Einführung eines Kopplungsverbotes im Bundes- 
datenschutzgesetz ergibt sich die Notwendigkeit, das bereits 
bestehende Kopplungsverbot im Telekommunikationsgesetz 
an die neue Regelung im Bundesdatenschutzgesetz anzupas- 
sen, um klarzustellen, dass beide Kopplungsverbote inhalt- 
lich deckungsgleich sind und sich lediglich an unterschied- 
liche Adressaten, nämlich auf der einen Seite an die 
nichtöffentlichen Stellen im Sinne des Bundesdatenschutz- 
gesetz und auf der anderen Seite an die Diensteanbieter im 
Sinne des Telekommunikationsgesetzes, richten. Es wird 
klargestellt, dass das Kopplungsverbot greift, wenn ein ande- 
rer Zugang zu einem Telekommunikationsdienst ohne Ein- 
willigung nicht oder nicht in zumutbarer Weise möglich ist. 

Zu Artikel 5 

Das Bundesdatenschutzgesetz ist zuletzt im Jahre 2003 be- 
kaimt gemacht worden. Da es seither mehrfach und in größe- 
rem Umfang geändert worden ist, erlaubt Artikel 5 eine Neu- 
bekaimtmachung. 

Zu Artikel 6 

Die Vorschrift regelt das Inkrafttreten des Gesetzes. 

Artikel 1 des Gesetzes, das Datenschutzauditgesetz, soll am 
Tag nach der Verkündung in Kraft treten, damit sich der Da- 
tenschutzauditausschuss frühzeitig konstituieren und mit der 
Erarbeitung und dem Beschluss von Richtlinien zur Verbes- 
serung des Datenschutzes und der Datensicherheit als 
Grundlage für die Kennzeichnung mit dem Datenschutz- 
auditsiegel beginnen kann. Es soll weiterhin frühzeitig er- 
möglicht werden, dass sich private Kontrollstellen gründen 
und zulassen. Schließlich sollen Bund und Länder frühzeitig 
in die Lage versetzt werden, von der Ermächtigung zum Er- 
lass von als notwendig erachteter Rechtsverordnungen Ge- 
brauch zu machen. Die Möglichkeit, ein Datenschutzaudit 
nach dem Datenschutzauditgesetz durchzuführen, soll nach 
§ 20 des Datenschutzauditgesetzes aufgrund dieser notwen- 
digen Vorbereitungsmaßnahmen erst ab dem 1. Juli 2010 
möglich sein. 

Die Artikel 2, 3 und 4 des Gesetzes sollen am 1 . Juli 2009 in 
Kraft treten. Aufgrund der Übergangsvorschrift in Artikel 2 
Nummer 10 verbleiben den betroffenen verantwortlichen 
Stellen damit drei Jahre, ihre Datenbestände den neuen An- 
forderungen anzupassen und Daten nach der neuen Fassung 
des § 28 des Bundesdatenschutzgesetzes zu erheben. 
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Anlage 2 


Stellungnahme des Nationalen Normenkontrollrates 


Der Nationale Normenkontrollrat hat den Gesetzentwurf auf 
Bürokratiekosten, die durch Informationspflichten begrün- 
det werden, geprüft. 

Mit dem Gesetz werden 15 Informationspflichten für die 
Wirtschaft und zwölf Informationspflichten für die Verwal- 
tung eingeführt. Die Informationspflichten führen zu einer 
jährlichen Belastung der Wirtschaft in Höhe von ca. 
10,1 Mio. Euro. Informationspflichten für Bürgerinnen und 
Bürger sind in dem Gesetzentwurf nicht enthalten. 

Die mit dem Entwurf entstehenden Bürokratiekosten zum 
Datenschutzaudit belaufen sich auf ca. 125 000 Euro jähr- 
lich. Insoweit muss festgehalten werden, dass die konkrete 
Ausgestaltung des Auditierungsverfahrens einer noch zu er- 
lassenden Rechtsverordnung Vorbehalten ist. Der Rat fordert 
das Bundesministerium des Irmem auf, beim Erlass der 
Rechtsverordnung darauf zu achten, dass die hierfür erfor- 
derlichen Informationspflichten möglichst bürokratiekosten- 
arm ausgestaltet sind. 

Der Großteil der mit dem Entwurf entstehenden Bürokratie- 
kosten (ca. 9,65 Mio. Euro) ist auf die Neufassung des § 28 
Absatz 3 Satz 1 des Bundesdatenschutzgesetzes (BDSG) zu- 
rückzuführen. Danach ist die Verwendung personenbezoge- 
ner Daten für Zwecke des Adresshandels, der Werbung oder 
der Markt- oder Meinungsforschung zukünftig nur zulässig, 
wenn der Betroffene eingewilligt hat. Dies dürfte in der 


Praxis dazu führen, dass bei denjenigen Rechtsgeschäften, 
bei denen der Kunde persönliche Daten angeben muss und 
der Verkäufer beabsichtigt, die Kundendaten zu Werbe- 
zwecke an Dritte weiterzugeben, der Kunde zukünftig ge- 
fragt werden muss, ob er mit der Weitergabe seiner Daten 
einverstanden ist. Das Bundesministerium des Iimem ist hier 
von einer Fallzahl von 30 Millionen jährlich und einem Auf- 
wand von einer Minute je Vorgang ausgegangen, so dass bei 
einem durchschnittlichen Stundensatz von 19,30 Euro eine 
jährliche Belastung von 9,65 Mio. Euro entsteht. 

Der Normenkontrollrat hält die dargestellten Bürokratiekos- 
ten für plausibel. Von der Regelung am stärksten betroffen 
dürften Unternehmen im Massengeschäft sein, bei denen 
große Bestände an Kundendaten anfallen bzw. vorhanden 
sind. Insbesondere im Versandhandel und im Telekommuni- 
kationsbereich dürfte die Neuregelung daher dazu führen, 
dass die entsprechenden Bestellformulare um ein entspre- 
chendes Einwilligungsfeld ergänzt werden. Der erforderli- 
che Bearbeitungsaufwand dürfte mit einer Minute je Fall 
ausreichend bemessen sein. 

Kostengünstigere Alternativen sind dem Normenkontrollrat 
derzeit nicht ersichtlich. Der Rat regt an, insbesondere die 
Regelung des § 28 Absatz 3 Satz 1 BDSG nach zwei Jahren 
dahingehend zu überprüfen, ob das damit verbundene politi- 
sche Ziel erreicht worden ist. 
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Anlage 3 

Stellungnahme des Bundesrates 


Der Bundesrat hat in seiner 854. Sitzung am 13. Februar 
2009 beschlossen, zu dem Gesetzentwurf gemäß Artikel 76 
Absatz 2 des Grundgesetzes wie folgt Stellung zu nehmen: 

1 . Zu Artikel 1 (DSAG allgemein) 

Der in Artikel 1 vorgesehene Entwurf eines Daten- 
schutzauditgesetzes bedarf einer grundlegenden Über- 
arbeitung. Denn das im Gesetzentwurf vorgesehene Ver- 
fahren für ein Datenschutzaudit ist bürokratisch, 
kostenträchtig und nicht transparent. 

a) Der Gesetzentwurf bringt eine überbordende, über- 
flüssige Bürokratie mit sich. Es sollen private Kon- 
trollstellen eingerichtet werden, die erst vom Bundes- 
beauftragten für den Datenschutz zugelassen und 
dann durch die Datenschutzaufsichtsbehörden der 
Länder überwacht werden. Diese müssen wiederum 
beim Bundesbeauftragten für den Datenschutz gege- 
benenfalls die Entziehung der Zulassung anregen. 
Zusätzlich sieht der Gesetzentwurf auch noch einen 
Datenschutzauditausschuss und für ihn eine „Auf- 
sichtsbehörde“ vor. 

b) Das vorgesehene Verfahren der Zulassung und Über- 
wachung der Stellen, die zukünftig die Befugnis 
erhalten sollen, bei datenverarbeitenden Stellen im 
nichtöffentlichen Bereich Datenschutzkonzepte und 
informationstechnische Einrichtungen zu kontrollie- 
ren, führt zu einem unverhältnismäßig hohen Verwal- 
tungsaufwand bei den Datenschutzaufsichtsbehörden 
der Länder. Während der Bundesbeauftragte für den 
Datenschutz und die Informationsfreiheit nach § 2 
Absatz 2 des Gesetzentwurfs für die Zulassung der 
Kontrollstellen, die Entziehung der Zulassung und die 
Vergabe der Kennnummem an die Kontrollstellen zu- 
ständig sein soll, obliegt die Durchführung des Geset- 
zes und der auf Grund dieses Gesetzes erlassenen 
Rechtsverordnungen grundsätzlich den nach Landes- 
recht zuständigen Behörden. Diese sollen die nach § 7 
Absatz 1 Satz 1 des Gesetzentwurfs vom Bundesbe- 
auftragten für den Datenschutz und die Infonnations- 
freiheit zugelassenen Kontrollstellen überwachen und 
bei Bedarf Überprüfungen dieser Stellen veranlassen. 
Es ist abzusehen, dass der mit der Wahrnehmung 
dieser Überwachungsaufgabe verbundene Aufwand 
außer Verhältnis zu dem zu erwartenden Nutzen steht. 
Vor allem aber werden hierdurch in nicht unerheb- 
lichem Maße personelle und sachliche Ressourcen ge- 
bunden, die den Datenschutzaufsichtsbehörden bei 
der Erfüllung ihrer eigentlichen Aufgabe, die Betrof- 
fenen bei der Wahrung ihrer Datenschutzrechte zu un- 
terstützen, nicht mehr zur Verfügung stehen werden. 

c) Das Verhältnis dieser privaten Kontrollstellen zur 
Selbstkontrolle durch betriebliche Datenschutzbe- 
auftragte und zur Fremdkontrolle durch die Daten- 


schutzaufsichtsbehörden für den nichtöffentlichen 
Bereich ist unklar. 

Der Gesetzentwurf sieht vor, dass Unternehmen, Be- 
triebe und sonstige private Stellen ihr Datenschutz- 
konzept und ihre informationstechnischen Einrich- 
tungen durch eine weitere Kontrollstelle überprüfen 
lassen köimen. Hierdurch karm sowohl die Stellung 
des jeweiligen betrieblichen Datenschutzbeauftragten 
als auch die Stellung der zuständigen Datenschutz- 
aufsichtsbehörde nachhaltig beeinträchtigt werden. 
Dies gilt insbesondere darm, wenn bei der Beurteilung 
von Datenschutzfragen Meinungsverschiedenheiten 
zwischen der privaten Kontrollstelle und den für die 
Datenschutzkontrolle zuständigen Aufsichtsbehörden 
auftreten. 

d) Jedenfalls sollte auf das vorgesehene Instrument eines 
Datenschutzauditausschusses im Hinblick auf den ho- 
hen bürokratischen Aufwand verzichtet werden. 

e) Die Nomenklatur des Gesetzentwurfs ist in sich 
widersprüchlich und würde in der Praxis zur Verwir- 
rung führen. 

aa) Der Begriff „Kontrollstelle“ wird in Artikel 28 
der EG-Datenschutzrichtlinie für die staatlichen 
Behörden verwendet, die in den Mitgliedstaaten 
den Datenschutz im öffentlichen wie im nicht- 
öffentlichen Bereich kontrollieren. Konsequent 
redet § 38 des Bundesdatenschutzgesetzes 
(BDSG) davon, dass die Aufsichtsbehörden die 
Ausführung dieses Gesetzes sowie anderer Vor- 
schriften über den Datenschutz kontrollieren. 

In dem Gesetzentwurf wird der Begriff „Kontroll- 
stelle“ aber für nichtöffentliche Stellen (also Pri- 
vate) verwendet, die wiederum nichtöffentliche 
Stellen (also Private) kontrollieren sollen (§ 3 
Satz 1, § 1 Satz 2 Nummer 4). 

bb) Der Begriff „Aufsichtsbehörde“ wird vom gel- 
tenden Bundesdatenschutzgesetz seit 1978 für 
die Datenschutzaufsichtsbehörden für den nicht- 
öffentlichen Bereich (§ 38 BDSG) verwendet. 
Der Gesetzentwurf benutzt den Begriff aber in- 
konsequent für das Bundesministerium des In- 
nern, das als Rechtsaufsichtsbehörde für den Da- 
tenschutzauditausschuss fungieren soll. 

Begründung 
Zu Buchstabe d 

Die vorgesehene Bildung eines Datenschutzauditaus- 
schusses, der Richtlinien zur Verbesserung des Daten- 
schutzes und der Datensicherheit erlassen soll, seine vor- 
gesehene Berichtspflicht sowie seine Zusammensetzung 
sind zu aufwändig und unpraktikabel. Auf Grund der sich 
ständig weiter entwickelnden Technik in den verschiede- 
nen Anwendungsbereichen müssten einheitliche Richt- 
linien ständig angepasst werden. 
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2. Zu Artikel 1 (§ 4 Absatz 1 Satz 1 Nummer 4 DSAG) 

Der Bundesrat bittet, im weiteren Verlauf des Gesetz- 
gebungsverfahrens zu prüfen, ob § 4 Absatz 1 Satz 1 
Nummer 4 DSAG-E mit Artikel 9 Absatz 1 Buchstabe a 
und Artikel 10 Absatz 2 Buchstabe a in Verbindung mit 
Absatz 1 der Richtlinie 2006/123/EG des Europäischen 
Parlaments und des Rates vom 12. Dezember 2006 über 
Dienstleistungen im Birmenmarkt (EU-Dienstleistungs- 
richtlinie - ABI. L 376 vom 27. 12. 2006, S. 36) verein- 
bar ist. 

Begründung 

An der Vereinbarkeit der Regelung mit den oben genann- 
ten Bestiirimungen der EU -Dienstleistungsrichtlinie be- 
stehen Zweifel. Nach Artikel 9 Absatz 1 der EU-Dienst- 
leistungsrichtlinie dürfen Genehmigungsregelungen 
nicht diskriminierend sein. Die Kriterien, auf denen sie 
beruhen, dürfen nach Artikel 10 Absatz 1 und 2 der 
EU-Dienstleistungsrichtlinie ebenfalls nicht diskriminie- 
rend sein. 

Die Kontrollstelle nach § 3 ff DSAG-E ist grundsätz- 
lich nicht hoheitlich tätig, sondern übt ihre Tätigkeit auf- 
grund eines privatrechtlichen Vertrages mit der nicht- 
öffentlichen Stelle aus. Zwar sieht § 16 Absatz 1 Satz 1 
Nummer 1 DSAG-E die Emiächtigung der Landesregie- 
rungen zur Beleihung zugelassener Kontrollstellen durch 
Rechtsverordnung vor. Zwingend ist eine Beleihung 
jedoch nicht. Es kann also nicht davon ausgegangen 
werden, dass Kontrollstellen in jedem Fall hoheitliche 
Tätigkeit ausüben und damit dem Anwendungsbereich 
der EU-Dienstleistungsrichtlinie nach deren Artikel 2 
Absatz 2 Buchstabe i entzogen sind. 

Damit erscheint fraglich, ob das Erfordernis eines inlän- 
dischen Sitzes oder einer inländischen Niederlassung 
nach § 4 Absatz 1 Satz 1 Nummer 4 DSAG-E der Anfor- 
derung der Artikel 9 und 10 der EU-Dienstleistungsricht- 
linie an eine diskriminierungsfreie Genehmigung ent- 
spricht. 

3. Zu Artikel 1 (§ 9 Absatz 1 Satz 1 DSAG) 

Der Bundesrat bittet, im weiteren Verlauf des Gesetz- 
gebungsverfahrens zu prüfen, ob es angesichts der Be- 
deutung des Datenschutzes sachgerecht ist, dass das 
Datenschutzauditsiegel (ähnlich wie beim Gütesiegel im 
ökologischen Landbau) bereits vor einer ersten Prüfung 
durch die Kontrollstelle verwendet werden darf, oder ob 
es erforderlich ist zu bestimmen, dass das Siegel erst nach 
der erfolgten Überprüfung genutzt werden darf 

Begründung 

Nach dem Gesetzentwurf können Firmen bereits ab der 
Mitteilung der beabsichtigten Verwendung mit dem Da- 
tenschutzsiegel werben, das heißt bevor die Konzepte, 
Programme oder technischen Anlagen tatsächlich über- 
prüft wurden. Die Kontrolle soll erst erfolgen, „sobald“ 
die Arbeit der Kontrollstelle „es ermöglicht“ (§ 3 Satz 4 
DSAG-E). 

Dies birgt die Gefahr, dass Daten verarbeitende Stellen 
im Vertrauen auf das Datenschutzauditsiegel erhebliche 
Summen in ungeprüfte Programme oder technische An- 
lagen investieren oder beispielsweise Verträge mit einem 


Callcenter abschließen und später die Kontrollstelle fest- 
stellt, dass die Anforderungen des Auditgesetzes nicht er- 
füllt oder möglicherweise sogar datenschutzrechtliche 
Vorschriften nicht eingehalten werden. 

ln dieser Zeit kann jedoch bereits eine Vielzahl von per- 
sonenbezogenen Daten verarbeitet worden sein, mit den 
entsprechenden Konsequenzen für die Betroffenen. In- 
vestitionsentscheidungen von Unternehmen oder öffent- 
lichen Stellen müssen gegebenenfalls in Frage gestellt 
werden, was mit erheblichen Kosten verbunden sein 
kann. 

Vor diesem Hintergrund ist es angezeigt, die vorgesehene 
Regelung noch einmal zu überprüfen. 

4. Zu Artikel 2 Nummer la - neu - 

(§ 4 Absatz 3 Satz 1 BDSG) 

Nach Nummer 1 ist folgende Nummer einzufügen: 

,1a. § 4 Absatz 3 Satz 1 wird wie folgt gefasst: 

„Werden personenbezogene Daten beim Betroffe- 
nen erhoben, so ist er von der verantwortlichen 
Stelle über 

a) die Identität der verantwortlichen Stelle, 

b) die Zweckbestimiuung der Erhebung, Verarbei- 
tung oder Nutzung und 

c) den Empfänger 
zu unterrichten.“ ‘ 

Begründung 

Die bisherigen Einschränkungen haben aufgrund der un- 
genauen Regelungen über die Informationspflicht des 
Betroffenen durch die verantwortliche Stelle über die 
Erhebung seiner Daten dazu beigetragen, dass die aus- 
drückliche Informationspflicht der Ausnahmefall gewe- 
sen ist. Die ausdrückliche Informations- und Dokumen- 
tationspflicht der verantwortlichen Stelle dient der 
Rechtsklarheit. 

5. Zu Artikel 2 Nummer 2 

(§ 4f Absatz 2 Satz 1 und 2 BDSG) 

Der Bundesrat bittet, im weiteren Gesetzgebungsverfah- 
ren zu prüfen, ob und gegebenenfalls wie die Anforde- 
rungen an die Fachkunde der Beauftragten für den Daten- 
schutz konkretisiert werden können. 

Begründung 

Der Gesetzentwurf sieht eine Stärkung der Stellung der 
Beauftragten für den Datenschutz vor. Dies ist zu begrü- 
ßen. 

Ebenso wichtig ist jedoch, die Anforderungen an die 
Fachkunde der Beauftragten für den Datenschutz zu kon- 
kretisieren. § 4f Absatz 2 Satz 1 BDSG bestimmt bisher 
lediglich, dass die Beauftragten die zur Erfüllung ihrer 
Aufgabe erforderliche Fachkunde besitzen müssen und 
sich das Maß der erforderlichen Fachkunde insbesondere 
nach dem Umfang der Datenverarbeitung der verantwort- 
lichen Stelle bestimmt. 

In der Praxis ist zunehmend festzustellen, dass Be- 
auftragte für den Datenschutz nicht über die zur Erfül- 
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lung ihrer Aufgaben erforderlichen Mindestkenntnisse, 
namentlich des Datenschutzrechts, verfügen, ln nicht- 
öffentlichen Stellen, die solche Personen zu Beauftragten 
für den Datenschutz bestellen, ist eine effektive Selbst- 
kontrolle der Einhaltung datenschutzrechtlicher Vor- 
schriften damit oftmals nicht gewährleistet. Eine funktio- 
nierende Selbstkontrolle ist jedoch zur Verhinderung von 
Datenschutzverstößen und zur Unterstützung der nur 
über begrenzte Ressourcen verfügenden Aufsichtsbehör- 
den unabdingbar. 

Es sollte daher geprüft werden, ob und gegebenenfalls 
wie die Anforderungen an die Fachkunde des Beauftrag- 
ten für den Datenschutz konkretisiert werden können. 
Denkbar wäre, in einem ersten Schritt eine gesetzliche 
Ermächtigung dafür zu schaffen, durch Rechtsverord- 
nung nähere Regelungen über die Anforderungen an die 
Fachkunde zu treffen, zumindest jedoch Mindestkennt- 
nisse vorzuschreiben. Geregelt werden sollte auch der 
Nachweis der erforderlichen Fachkunde bzw. Mindest- 
kenntnisse durch Bescheinigungen über den Besuch ge- 
eigneter Aus- und Fortbildungsveranstaltungen und das 
Ablegen einer Prüfung. 

6. Zu Artikel 2 (§ 9 und Anlage zu § 9 Satz 1 BDSG) 

Der Bundesrat bittet, im weiteren Gesetzgebungsverfah- 
ren zu prüfen, ob § 9 BDSG und insbesondere die Anlage 
zu § 9 Satz 1 BDSG dergestalt verändert werden kann, 
dass nicht mehr ein Katalog von Einzelmaßnahmen zur 
Gewährleistung der Datensicherheit vorgegeben wird, 
sondern stattdessen nach dem Muster mehrerer Landes- 
datenschutzgesetze die Sicherheitsziele Vertraulichkeit, 
Integrität, Verfügbarkeit, Authentizität, Revisionsfähig- 
keit und Transparenz vorgegeben werden. 

Begründung 

Durch die Vorgabe von Sicherheitszielen würde das Ge- 
setz in diesem Punkt technologieunabhängig formuliert 
und insoweit Anforderungen der modernen, sich ständig 
fortentwickelnden Technik besser angepasst sein. Zu- 
gleich würde eine inhaltliche und begriffliche Anglei- 
chung an für die Sicherheit in der Informationstechnik 
(IT-Sicherheit) bestehende Sicherheitsziele (Vertraulich- 
keit, Integrität, Verfügbarkeit) erreicht. Wird den Sicher- 
heitszielen in einer Weise entsprochen, dass getroffene 
Maßnahmen in einem angemessenen Verhältnis zu dem 
angestrebten Schutzzweck stehen, kann einerseits präven- 
tiv dem unbefugten Zu- und Umgang mit personenbezo- 
genen Daten entgegengewirkt werden, andererseits lässt 
sich gegebenenfalls anhand von Protokollierungen usw. 
im Nachhinein feststellen, wer für den unbefugten Um- 
gang mit personenbezogenen Daten verantwortlich ist. 

7. Zu Artikel 2 (§ 1 1 Absatz 2 Satz 2 BDSG) 

Der Bundesrat bittet, im weiteren Gesetzgebungsverfah- 
ren zu prüfen, ob § 1 1 Absatz 2 Satz 2 BDSG so gefasst 
werden karm, dass die der Nonu unterworfenen nichtöf- 
fentlichen Stellen die gesetzlichen Anforderungen besser 
erkennen können. 

Begründung 

Anlass für das vorliegende Gesetzgebungsverfahren hat 
vor allem der rechtswidrige Umgang von Call-Center- 


Mitarbeitem luit personenbezogenen Daten gegeben. 
Call-Center verarbeiten personenbezogene Daten regel- 
mäßig im Auftrag (§ 11 BDSG). Es stellt sich daher die 
Frage, ob die aktuellen Ereignisse Anlass geben, die Vor- 
schriften über die Datenverarbeitung iiu Auftrag zu ver- 
bessern. 

ln der Praxis ist festzustellen, dass insbesondere § 11 
Absatz 2 Satz 2 BDSG häufig nicht beachtet wird. So 
wird in vielen Fällen der Auftrag nicht schriftlich erteilt 
bzw. der schriftliche Auftrag enthält keine schriftlichen 
Regelungen hinsichtlich der Datenerhebung, -Verarbei- 
tung oder -nutzung, der technischen und organisato- 
rischen Maßnahmen oder etwaiger Unterauftragsverhält- 
nisse. Häufig beschränken sich die „Festlegungen“ auch 
auf den Satz, die Vorschriften des Bundesdatenschutz- 
gesetzes seien vom Auftragnehiuer zu beachten, bzw. auf 
eine Wiedergabe der gesetzlichen Regelungen. Mitunter 
wird vertraglich vereinbart; nähere Festlegungen erfolg- 
ten mündlich, was jedoch regelmäßig nicht geschieht. 
Schriftliche Regelungen zur Löschung der Daten bzw. 
deren Rückgabe nach Erledigung des Auftrags werden 
nur selten getroffen. 

Festzustellen ist auch, dass insbesondere Call-Center 
häufig von (mitunter vor Jahren erteilten) angeblichen 
Einwilligungen Betroffener in die Verarbeitung und Nut- 
zung ihrer Daten Gebrauch machen, ohne dass sich Auf- 
traggeber oder Call-Center davon überzeugt haben, dass 
im Einklang mit gesetzlichen Vorschriften zustande ge- 
kommene Einwilligungen tatsächlich vorliegen. Hinzu 
kommt, dass in vielen Fällen weder Auftraggeber noch 
Call-Center auf Verlangen der Betroffenen oder der Auf- 
sichtsbehörde einen Nachweis darüber vorlegen können, 
dass der Betroffene in die Verarbeitung seiner Daten ein- 
gewilligt hat. Diesbezügliche schriftliche Festlegungen 
fehlen durchweg. 

Vor diesem Hintergrund ist es zu begrüßen, dass der Ge- 
setzentwurf die Möglichkeit eröffnet, Verstöße gegen 
§ 1 1 Absatz 2 Satz 2 BDSG mit einem Bußgeld zu ahn- 
den. 

Dies greift jedoch zu kurz. Gespräche von Datenschutz- 
aufsichtsbehörden mit nichtöffentlichen Stellen haben er- 
geben, dass diese die Vorschrift oftmals nicht absichtlich 
missachten, sondern nicht erkennen, was von ihnen ver- 
langt wird. Es erscheint daher notwendig, § 1 1 Absatz 2 
Satz 2 so zu präzisieren, dass die der Nomi unterworfe- 
nen nichtöffentlichen Stellen die gesetzlichen Anforde- 
rungen besser erkennen können. So sollte deutlicher 
werden, dass auch die Festlegungen hinsichtlich der Da- 
tenverarbeitung und -nutzung, der technischen und orga- 
nisatorischen Maßnahmen und etwaiger Unterauftrags- 
verhältnisse schriftlich zu treffen sind und konkrete 
generelle Weisungen bezogen auf den Einzelfall und die 
einzelnen Verarbeitungsschritte, namentlich die Lö- 
schung der Daten bzw. deren Rückgabe an den Auftrag- 
geber, die Datensicherung und die Vergabe von Unterauf- 
trägen zu erteilen sind. Ein Hinweis auf die gesetzlichen 
Bestimmungen oder deren Wiedergabe genügt nicht. 
Hilfreich wäre, wenn einige besonders wichtige Bestand- 
teile einer solchen Festlegung im Gesetz beispielhaft 
(„insbesondere“) aufgeführt würden. 


Deutscher Bundestag — 16. Wahlperiode 


-41- 


Drucksache 16/12011 


8. Zu Artikel 2 Nummer 3a - neu - 

(§ 11 Absatz 2 Satz 4 BDSG) 

Der Bundesrat bittet im Hinblick darauf, dass unzurei- 
chende Kontrollen der als Auftragnehmer bei der Erhe- 
bung, Verarbeitung oder Nutzung personenbezogener 
Daten eingeschalteten Unternehmen (insbesondere Call- 
Centem) zu schwerwiegenden Datenschutzverletzungen 
beigetragen haben, im weiteren Verlauf des Gesetz- 
gebungsverfahrens zu prüfen, ob Häufigkeit, Tiefe und 
Dokumentation der vom Auftraggeber vorzunehmenden 
Kontrollen in § 1 1 Absatz 2 Satz 4 BDSG näher geregelt 
werden sollten. 

Begründung 

Wenn unterschiedlichste personenbezogene Daten unter- 
schiedlicher Herkunft bei einem Unternehmen vorhan- 
den sind - dies gilt insbesondere für Call-Center - be- 
steht eine hohe Missbrauchsgefahr durch die 
unberechtigte Verknüpfung dieser Datenbestände. Es ist 
jedoch zu besorgen, dass die Kontrolle der Einhaltung der 
datenschutzrechtlichen Bestimmungen gerade in diesem 
Bereich hinter dem Gebotenen zurückbleibt, weil die die 
Erhebung, Verarbeitung oder Nutzung von Daten vomeh- 
mende Stelle selbst nicht die datenschutzrechtliche Ver- 
antwortung trägt. Umgekehrt wird sich der gemäß § 1 1 
Absatz 1 BDSG in der datenschutzrechtlichen Verant- 
wortung bleibende Auftraggeber ohne entsprechende 
gesetzliche Verpflichtung nur in sehr zurückhaltender 
Weise von der Ordnungsmäßigkeit der Geschäftstätigkeit 
des Vertragspartners überzeugen. Die jüngsten Vorfälle 
geben Anlass zu der Überlegung, ob die stärkere In- 
pflichtnahme der Auftraggeber durch Vorgabe konkreter 
Kontrollmaßnahmen vorgesehen werden sollte. Deren 
Häufigkeit und Dokumentation ist geboten, um sicherzu- 
stellen, dass die selbst für die Wahrung der Datenschutz- 
anforderungen nicht verantwortlichen Auftragnehmer 
die Einhaltung der gesetzlichen Vorgaben gewährleisten. 

9. Zu Artikel 2 (§ 1 1 Absatz 4 BDSG) 

Der Bundesrat bittet, im weiteren Gesetzgebungsverfah- 
ren zu prüfen, ob der Katalog der nach § 1 1 Absatz 4 
BDSG für Auftragsdatenverarbeiter geltenden Vorschrif- 
ten des Bundesdatenschutzgesetzes um § 42a ergänzt 
werden muss. 

Begründung 

In den vergangenen Monaten festgestellte Fälle der un- 
rechtmäßigen Kermtniserlangung personenbezogener 
Daten durch Dritte waren mehrfach von Auftragsdaten- 
verarbeitem oder deren Mitarbeitern zu verantworten. In 
solchen Fällen, insbesondere wenn die unrechtmäßige 
Kermtniserlangung personenbezogener Daten durch 
Dritte auf unzureichende Datensicherungsvorkehrungen 
des Auftragnehmers oder die unzulässige Verknüpfung 
von Datenbeständen mehrerer Auftraggeber beim Auf- 
tragnehmer zurückzuführen ist, erscheint eine originäre 
Pflicht des Auftragnehmers zu Informationen im Sinne 
des § 42a BDSG angeraten. 

Soweit der Auftraggeber zu Infomiationen nach § 42a 
BDSG verpflichtet ist, könnte zudem — unbeschadet ver- 
traglicher Verpflichtungen - gesetzlich festgelegt wer- 


den, dass der Auftragnehmer dem Auftraggeber alle er- 
forderlichen Informationen zur Verfügung zu stellen hat. 

10. Zu Artikel 2 Nummer 5 Buchstabe b 

(§ 28 Absatz 1 Satz 1 Nummer 1 BDSG) 

Artikel 2 Nummer 5 Buchstabe b ist wie folgt zu fas- 
sen: 

,b) Absatz 1 Satz 1 Nummer 1 wird wie folgt gefasst: 

„1. wenn es zur Durchführung eines rechtsge- 
schäftlichen oder rechtsgeschäftsähnlichen 
Schuldverhältnisses mit dem Betroffenen er- 
forderlich ist,“.‘ 

Begründung 

Über die im Gesetzentwurf vorgesehene Ersetzung der 
Begriffe „Vertragsverhältnisses“ bzw. „vertragsähn- 
lichen Vertrauensverhältnisses“ durch die mit der 
Schuldrechtsnovelle 2002 eingeführten Begriffe „rechts- 
geschäftlichen Schuldverhältnisses“ und „rechtsge- 
schäftähnlichen Schuldverhältnisses“ hinaus soll deut- 
lich gemacht werden, dass nur die für die Abwicklung 
des Rechtsgeschäftes erforderlichen Daten erhoben und 
verarbeitet werden dürfen und keine weiteren „über- 
schießenden Daten“. Die aufgrund des sog. Daten- 
schutzgipfels am 4. September 2008 in Berlin einge- 
setzte Länder-Arbeitsgruppe hat seinerzeit festgestellt, 
dass die Erhebung und Verarbeitung der „überschießen- 
den Daten“ eine der Ursachen für die bekannt geworde- 
nen Datenschutzverstöße gewesen sind. 

11. Zu Artikel 2 Nummer 5 Buchstabe b 

(§ 28 Absatz 1 Satz 1 Nummer 1 BDSG) 

Der Bundesrat bittet, im weiteren Gesetzgebungsver- 
fahren zu prüfen, ob mit der neu vorgesehenen Termi- 
nologie „rechtsgeschäftliches oder rechtsgeschäfts- 
ähnliches Schuldverhältnis“ in § 28 BDSG anstelle der 
bisherigen Begriffe „Vertragsverhältnis“ und „vertrags- 
ähnliches Vertrauensverhältnis“ wie bisher auch Ver- 
eine, Verbände, Parteien, Gewerkschaften u. ä. Organi- 
sationen erfasst bleiben. 

Begründung 

Mit dem vorliegenden Gesetzentwurf sollen in § 28 
BDSG die Begriffe „Vertragsverhältnis“ und „vertrags- 
ähnliches Vertrauensverhältnis“ durch die Begriffe 
„rechtsgeschäftliches oder rechtsgeschäftsähnliches 
Schuldverhältnis“ ersetzt werden. Begründet wird die 
Änderung mit der Anpassung der Begriffe an die durch 
die Schuldrechtsnovelle des Jahres 2002 eingeführte 
Terminologie. Zumindest klärungsbedürftig ist, ob die 
nunmehr vorgesehene Terminologie auch Vereine, Ver- 
bände, Parteien, Gewerkschaften u. ä. Organisationen 
erfasst. Bisher konnten solche nichtkommerziell tätigen 
nichtöffentlichen Stellen zumindest unter den Begriff 
des „vertragsähnlichen Vertrauensverhältnisses“ sub- 
sumiert werden. Wäre dies aufgrund einer geänderten 
Terminologie künftig nicht mehr möglich, entfiele für 
diese Stellen die zentrale gesetzliche Grundlage für den 
Umgang mit personenbezogenen Daten. Dies kann mit 
einer bloßen Anpassung der Terminologie offensicht- 
lich nicht gewollt sein. 
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12. Zu Artikel 2 Nummer 5 Buchstabe d 

(§ 28 Absatz 3 Satz 6 BDSG) 

ln Artikel 2 Nummer 5 Buchstabe d sind in § 28 
Absatz 3 Satz 6 die Wörter „Nach den Sätzen 1 bis 3 
übermittelte Daten dürfen“ durch die Wörter „Sind 
nach den Sätzen 1 bis 3 Daten übermittelt worden, dür- 
fen sie nur“ zu ersetzen. 

Begründung 

Klarstellung des Gewollten, weil in Fällen der Sätze 2 
und 3 keine Übermittlungen vorliegen müssen. 

13. Zu Artikel 2 Nummer 5 Buchstabe d 

(§ 28 Absatz 3 Satz 7 - neu - BDSG) 

ln Artikel 2 Nummer 5 Buchstabe d ist dem § 28 Ab- 
satz 3 folgender Satz anzufügen: 

„Der Betroffene kann im Falle des Satzes 1 verlangen, 
dass ihm das Vorliegen einer wirksamen Einwilligung 
nachgewiesen wird.“ 

Begründung 

Der Gesetzentwurf verzichtet darauf, die Gültigkeit der 
Einwilligung in die Datennutzung zeitlich zu beschrän- 
ken und die von der Rechtsprechung zu § 4a BDSG ent- 
wickelten Anforderungen an die Zweckbindung der 
Einwilligung für den Adresshandel näher zu präzisie- 
ren. Damit werden sich die Betroffenen auch weiterhin 
häufig im Ungewissen darüber befinden, von wem und 
zu welchen Zwecken im Einzelnen ihre Daten genutzt 
werden. Auch werden die Betroffenen vielfach nicht si- 
cher beurteilen können, ob der Datennutzung eine wirk- 
same, möglicherweise schon mehrere Jahre zuvor er- 
klärte Einwilligung zu Grunde liegt. 

Gerade im Bereich des Direktmarketings nutzen Unter- 
nehmen nicht selten diesen Umstand aus und berufen 
sich auf eine Einwilligung des Betroffenen, deren Exis- 
tenz jedoch nicht nachgewiesen wird. Um den Betroffe- 
nen, denen möglicherweise erst durch unerwünschte 
Werbeanrufe oder ähnliche Belästigungen der Umfang 
der zunächst gebilligten Datennutzung deutlich wird, 
eine effektive Durchsetzung ihrer Rechte zu ermög- 
lichen, ist es erforderlich, in § 28 Absatz 3 BDSG-E 
einen Anspruch auf Nachweis der Einwilligung gesetz- 
lich zu verankern. Nur so wird der Betroffene in die La- 
ge versetzt, beispielsweise sein Recht auf Widerruf der 
Einwilligung auszuüben. Die Nachweispflicht unter- 
stützt außerdem die Maßnahmen zur Bekämpfung der 
nach § 7 Absatz 2 UWG (Gesetz gegen den unlauteren 
Wettbewerb) unzulässigen unerbetenen Telefonwer- 
bung und ergänzt die Auskunftsansprüche des § 34 
BDSG. 

14. Zu Artikel 2 Nummer 5 Buehstabe e 

(§ 28 Absatz 3a Satz 1,2- neu - BDSG) 

In Artikel 2 Nummer 5 Buchstabe e ist § 28 Absatz 3a 
Satz 1 durch folgende Sätze zu ersetzen: 

„Die Einwilligung bedarf der Schriftform. Sie kann 
auch elektronisch erklärt werden, wenn die verantwort- 
liche Stelle sicherstellt, dass die Einwilligung protokol- 
liert wird und der Betroffene deren Inhalt jederzeit ab- 
rufen und die Einwilligung jederzeit mit Wirkung für 
die Zukunft widerrufen kann.“ 


Begründung 

Mit der Streichung des „Listenprivilegs“ soll nach dem 
Gesetzentwurf die Verwendung personenbezogener 
Daten für Zwecke des Adresshandels, der Werbung 
oder Markt- und Meinungsforschung grundsätzlich nur 
zulässig sein, wenn der Betroffene darin eingewilligt 
hat. Der Einwilligungsvorbehalt entfaltet seine Schutz- 
wirkung zu Gunsten von Verbraucherinnen und Ver- 
brauchern aber nur dann, wenn für die Wirksamkeit der 
Einwilligung die Einhaltung der Schriftform gesetzlich 
vorgeschrieben wird. Das Schriftformerfordemis dient 
nicht nur der Rechtssicherheit, indem etwaige Grenzen 
der Einwilligung unmissverständlich dokumentiert 
werden. Es ist auch mit einer aus Verbraucherschutz- 
sicht zu begrüßenden Warnfunktion verbunden. Soll 
sich die erteilte Einverständniserklärung beispielsweise 
auf die Weitergabe der Daten an Dritte erstrecken, wird 
der Betroffene durch die geforderte Abgabe der Einwil- 
ligung in Schriftform davor geschützt, voreilig dem 
darm nur noch schwer kontrollierbaren Datenhandel zu- 
zustimmen. 

Demgegenüber lässt es der Gesetzentwurf in der vor- 
gesehenen Fassung zu, dass unter den Voraussetzungen 
des § 4a Absatz 1 Satz 3 BDSG von der Schriftform 
abgewichen werden kann. Damit sind beispielsweise 
auch telefonisch abgegebene Einwilligungserklärungen 
denkbar. Zum Schutz von Verbraucherirmen und Ver- 
brauchern sieht der Gesetzentwurf lediglich vor, dass 
der Inhalt der abgegebenen Einwilligungserklärung 
vom Unternehmer später schriftlich zu bestätigen ist. 
Dies kann nieht überzeugen. Es ist zu befürchten, dass 
Verbraucherinnen und Verbraucher die rechtliche Rele- 
vanz einer später zugesandten Bestätigungserklärung 
— die ggf. auch mit weiteren Werbematerialien verbun- 
den ist - nicht immer erkennen. Auch werden sich Ver- 
braucheriimen und Verbraucher vielfach an den ge- 
nauen Inhalt telefonisch abgegebener Erklärungen, 
denen ggf ein Werbeanruf vorangegangen ist, später 
nicht genau erinnern. Sollten Unternehmen diese Un- 
sicherheit zu ihren Gunsten ausnutzen, ist es nicht ge- 
rechtfertigt, Verbraucherinnen und Verbraucher auf die 
Ausübung ihres Widerrufsrechtes nach § 28 Absatz 4 
Satz 1 BDSG-E zu verweisen. 

Den Interessen der Wirtschaft wird hinreichend Rech- 
nung getragen, indem ausnahmsweise auch die in elek- 
tronischer Form abgegebene Erklärung zugelassen 
wird. 

15. Zu Artikel 2 Nummer 5 Buchstabe e 

(§ 28 Absatz 3b BDSG) 

In Artikel 2 Nummer 5 Buchstabe e § 28 Absatz 3b 
sind die Wörter „, werm dem Betroffenen ein anderer 
Zugang zu gleichwertigen vertraglichen Leistungen 
ohne die Einwilligung nicht oder nicht in zumutbarer 
Weise möglich ist“ zu streichen. 

Begründung 

Die Einführung eines Koppelungsverbotes in den Ge- 
setzentwurf ist zu begrüßen. Die Einschränkung des 
Verbotes auf Unternehmen mit marktbeherrschender 
Stellung greift aber zu kurz. Wünschenswert wäre ein 
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umfassendes Kopplungsverbot unabhängig von der 
Marktmacht eines Unternehmens. 

Abweichend vom Gesetzentwurf wird das Verbot, den 
Abschluss eines Vertrags von der Einwilligung des Be- 
troffenen abhängig zu machen („Koppelungsverbot“), 
ohne Einschränkung auf alle Unternehmen ausgedehnt. 
Auf diese Weise wird die Freiwilligkeit der Einwilli- 
gung nach § 28 Absatz 3 Satz 1 BDSG-E über § 4a 
Absatz 1 Satz 1 BDSG hinaus abgesichert, indem jeder 
Versuch, die gesetzlich nicht legitimierte Datenverar- 
beitung mit der Drohung, den Vertrag anderenfalls nicht 
abzuschließen, zu erzwingen, zur Unwirksamkeit der 
Einwilligung führt. 

Die im Gesetzentwurf vorgesehene Einschränkung, 
dass dem Betroffenen ein anderer Zugang zu gleichwer- 
tigen vertraglichen Leistungen ohne die Einwilligung 
nicht oder nicht in zumutbarer Weise möglich ist, lehnt 
sich an die bisherigen bereichsspezifischen Koppe- 
lungsverbote in § 95 Absatz 5 des Telekommunika- 
tionsgesetzes (TKG) und § 12 Absatz 3 des Teleme- 
diengesetzes an und verallgemeinert diese. Ziel dieser 
eingeschränkten Koppelungsverbote ist es zu verhin- 
dern, dass Anbieter von Dienstleistungen im Tele- 
kommunikations- und Multimediasektor eine even- 
tuelle Monopolstellung ausnutzen (vgl. die Einzel- 
begründung zu § 93 TKG-E, Bundestagsdrucksache 
15/2316, S. 89). Anders als bei Leistungen der zivilisa- 
torischen Grundversorgung wie Telekommunikations- 
und Multimediadienstleistungen sind Monopolstellun- 
gen jedoch im normalen Geschäftsverkehr der Ausnah- 
mefall. Die im Gesetzentwurf vorgesehene Regelung 
würde daher kauru praktische Relevanz entfalten. 

Nach der im Gesetzentwurf vorgesehenen Regelung 
darf die verantwortliche Stelle den Abschluss eines 
Vertrages nicht von der Einwilligung des Betroffenen 
abhängig machen, „werm deru Betroffenen ein anderer 
Zugang zu gleichwertigen vertraglichen Leistungen 
ohne die Einwilligung nicht in zumutbarer Weise mög- 
lich ist“. Die Erfahrungen mit der entsprechenden Re- 
gelung des Telemediengesetzes zeigen, dass hierdurch 
den Interessen der Verbraucherinnen und Verbraucher 
auf Marktzugang nicht hinreichend Rechnung getragen 
werden kann. Im Übrigen wirft die Formulierung auf 
Grund ihrer Unbestimmtheit Auslegungsschwierigkei- 
ten auf. Es besteht Unklarheit, in welchen Fällen Be- 
troffenen ein anderer Zugang zu gleichwertigen ver- 
traglichen Leistungen ohne die Einwilligung nicht oder 
nicht in zumutbarer Weise möglich ist. 

Ein (eingeschränktes) Koppelungsverbot für marktbe- 
herrschende Unternehmen ergibt sich zudem bereits 
nach geltenderu Recht aus § 4a Absatz 1 Satz 1 BDSG. 
Danach ist die Einwilligung nur wirksam, wenn sie auf 
der freien Entscheidung des Betroffenen beruht, also 
„ohne Zwang“ erfolgt (vgl. die Einzelbegründung zu 
§ 4a BDSG-E, Bundestagsdrucksache 14/4329, S. 34 
unter Hinweis auf Artikel 2 Buchstabe h der EG-Daten- 
schutzrichtlinie). Die Einwilligung wird als Verwen- 
dungsregulativ nur so lange akzeptiert, wie sich die Be- 
troffenen nicht in einer Situation befinden, die sie 
faktisch dazu zwingt, sich mit dem Zugriff auf ihre je- 
weils verlangten Daten einverstanden zu erklären. 


Daran fehlt es regehuäßig bei der Inanspruchnahme 
von Leistungen, auf welche die Betroffenen existentiell 
angewiesen sind und die ihnen unter Ausnutzung einer 
wirtschaftlichen Machtposition „abgepresst“ werden. 
§ 4a Absatz 1 Satz 1 BDSG möchte in diesen Situatio- 
nen jeden Versuch der verantwortlichen Stelle unterbin- 
den, ihre Leistungen an die Bereitschaft der Betroffe- 
nen zu knüpfen, in die Verwendung bestimmter sie 
betreffender Daten einzuwilligen; die verantwortliche 
Stelle bleibt zwar unverändert berechtigt, die jeweils er- 
forderlichen Daten zu verarbeiten (§ 28 Absatz 1 Satz 1 
Nummer 1 BDSG-E), darf aber nicht ihre Leistung mit 
dem Zugriff auf weitere konkret nicht benötigte Anga- 
ben verknüpfen. Bei richtiger Auslegung generalisiert 
mithin § 4a Absatz 1 Satz 1 BDSG das im Telekommu- 
nikations- und Multimediarecht ausdrücklich vorgese- 
hene Koppelungsverbot (vgl. Siruitis-Simitis, BDSG, 
6. Auflage 2006, § 4a Rn. 62 f; Gola/Schomerus, 
BDSG, 8. Auflage 2005, § 4a Rn. 6). Die im Gesetz- 
entwurf vorgesehene Regelung würde angesichts des- 
sen nicht nur kein Mehr an Verbraucherdatenschutz 
bringen, sondern könnte darüber hinaus zu Auslegungs- 
schwierigkeiten hinsichtlich § 4a Absatz 1 Satz 1 
BDSG führen, indem sie dessen Regelungsgehalt infra- 
ge stellt. 

16. Zu Artikel 2 Nummer 5 (§§ 28 bis 30 BDSG) 

Der Bundesrat bittet, im weiteren Gesetzgebungsver- 
fahren zu prüfen, ob die Tätigkeit der Markt- und Mei- 
nungsforschungsinstitute durch klarstellende Regelun- 
gen insbesondere in den §§ 28 bis 30 BDSG besser 
abgesichert werden kann. 

Begründung 

Die Markt- und Meinungsforschung nimmt eine wich- 
tige gesellschaftliche Aufgabe wahr. Sie stellt für 
öffentliche und private Auftraggeber mittels wissen- 
schaftlicher Methoden und Techniken notwendige 
Informationen als empirische Grundlage und zur Unter- 
stützung wirtschaftlicher, gesellschaftlicher und poli- 
tischer Entscheidungen bereit und schafft damit eine 
wichtige Voraussetzung für die nachhaltige demokra- 
tische und wirtschaftliche Entwicklung der Bundes- 
republik Deutschland. 

Gleichwohl wird die Markt- und Meinungsforschung 
im BDSG in den §§ 28 und 29 BDSG mehrfach mit der 
Werbung, dem Adresshandel und der Tätigkeit von 
Auskunfteien gleichgestellt. Dabei hat die Markt- und 
Meinungsforschung iru Gegensatz zur Werbung, zum 
Adresshandel und zur Tätigkeit der Auskunfteien nicht 
Aussagen über konkrete Einzelpersonen zum Gegen- 
stand, sondern zieht personenbezogene Daten lediglich 
heran, um daraus von der Einzelperson unabhängige, 
verallgemeinerungsfahige Aussagen zu gewinnen. Die 
von der Markt- und Meinungsforschung erhobenen Da- 
ten werden dem Auftraggeber dementsprechend nur in 
anonymisierter Form übermittelt. 

Die Einschränkung des Listenprivilegs im Hinblick 
auf Markt- und Meinungsforschungsinstitute durch 
Artikel 2 Nummer 5 Buchstabe d des Gesetzentwurfs 
(Markt- und Meinungsforschung nur noch zu eigenen 
Zwecken bzw. gegenüber Freiberuflern und Gewerbe- 
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treibenden) könnte die Tätigkeit der Markt- und Mei- 
nungsforschungsinstitute über Gebühr behindern. Die 
Zulässigkeit der Erhebung, Verarbeitung und Nutzung 
personenbezogener Daten zu Zwecken der Markt- und 
Meinungsforschung sollte daher in den §§ 28 und 30 
BDSG klargestellt werden. 

Auch im Vorblatt und in der Begründung zum Gesetz- 
entwurf sollten die Unterschiede zwischen der Wer- 
bung, dem Adresshandel und der Tätigkeit der Aus- 
kunfteien einerseits und der Markt- und Meinungsfor- 
schung andererseits stärker zum Ausdruck gebracht 
werden. 

17. Zu Artikel! Nummer 7a -neu- (§ 35 Absatz 5 BDSG) 

ln Artikel 2 ist nach Nummer 7 folgende Nummer 7a 
einzufügen: 

,7a. § 35 Absatz 5 wird wie folgt gefasst: 

„(5) Personenbezogene Daten dürfen nicht für 
eine automatisierte Verarbeitung oder Verarbei- 
tung in nicht automatisierten Dateien erhoben, 
verarbeitet oder genutzt werden, soweit der Be- 
troffene dieser bei der verantwortlichen Stelle 
widerspricht. Dies gilt nicht, wenn eine Interessen- 
abwägung ergibt, dass das Interesse der verant- 
wortlichen Stelle das Interesse des Betroffenen 
erheblich überwiegt oder wenn eine Rechtsvor- 
schrift zur Erhebung, Verarbeitung oder Nutzung 
der Daten verpflichtet.“* 

Begründung 

Der Bundesrat nimmt Bezug auf seine Stellungnahme 
zum Gesetzentwurf zur Änderung des Bundesdaten- 
schutzgesetzes - Bundesratsdrucksache 548/08 (Be- 
schluss) -, Nummer 12. 

Die Bundesregierung hatte in ihrer Gegenäußerung zur 
Stellungnahme des Bundesrates (Bundestagsdruck- 
sache 16/10581) dem Vorschlag des Bundesrates nicht 
zugestimmt. Allerdings wurde seitens der Bundesregie- 
rung angekündigt, dass im Rahmen des von ihr ange- 
kündigten gesonderten Gesetzentwurfes ein Vorschlag 
gemacht werde. Dem vorliegenden Gesetzentwurf ist 
eine entsprechende Passage jedoch nicht zu entnehmen. 

Nach aktueller Rechtslage dürfen grundsätzlich perso- 
nenbezogene Daten für eine automatisierte Verarbei- 
tung oder Verarbeitung in nicht automatisierten Dateien 
daim nicht erhoben, verarbeitet oder genutzt werden, 
wenn der Betroffene widerspricht und eine Prüfung er- 
gibt, dass das schutzwürdige Interesse des Betroffenen 
das Interesse der verantwortlichen Stelle überwiegt. 
Die in § 35 Absatz 5 Satz 1 BDSG geregelte Interessen- 
abwägung zwischen Betroffenem und verantwortlicher 
Stelle schränkt das Widerspruchsrecht des Betroffenen 
wesentlich ein. Die verantwortliche Stelle kaim sich re- 
gelmäßig darauf berufen, dass ihr Interesse an einer Da- 
tenerhebung, Verarbeitung oder Nutzung das Interesse 
des Verbrauchers überwiegt. Daher soll der Verbrau- 
cher grundsätzlich ein umfassendes Widerspruchsrecht 
eingeräumt bekommen. 

Ausnahmsweise sollen trotz Widerspruchs des Verbrau- 
chers personenbezogene Daten durch die verantwort- 


liche Stelle erhoben, verarbeitet oder genutzt werden, 
soweit eine Interessenabwägung ergibt, dass das Inte- 
resse der verantwortlichen Stelle an einer Erhebung, 
Verarbeitung oder Nutzung der Daten das Interesse des 
Verbrauchers erheblich überwiegt oder wenn eine 
Rechtsvorschrift zur Erhebung, Verarbeitung oder Nut- 
zung der Daten verpflichtet. 

Durch diese Regelung wird die Kontrollmöglichkeit der 
Verbraucher über die Verwendung ihrer personenbezo- 
genen Daten verbessert und die Verbraucher werden da- 
mit besser geschützt. 

18. Zu Artikel 2 (§ 38 Absatz 5 BDSG) 

Der Bundesrat bittet, im weiteren Gesetzgebungsver- 
fahren zu prüfen, ob die Eingriffsbefugnisse der Daten- 
schutzaufsichtsbehörden dahingehend erweitert werden 
können, dass diese über § 38 Absatz 5 BDSG hinaus 
generell Anordnungen und Untersagungsverfügungen 
in Bezug auf materiell rechtswidrige Datenverarbeitun- 
gen oder sonstige Verstöße gegen datenschutzrechtliche 
Vorschriften erlassen können. 

Begründung 

Eingriffsbefugnisse der Aufsichtsbehörden in Bezug 
auf konkrete Datenverarbeitungen sind in § 38 Absatz 5 
BDSG geregelt. Danach kann die Aufsichtsbehörde 
lediglich Anordnungen treffen und Verfahren unter- 
sagen, wenn technische und organisatorische Mängel 
festgestellt wurden. Die Regelung erfasst nicht mate- 
riell unzulässige Verarbeitungen und sonstige Verstöße 
gegen datenschutzrechtliche Vorschriften, ln diesen 
Fällen ist es der Aufsichtsbehörde nicht möglich, ihre 
Rechtsauffassung durchzusetzen, wenn die nicht- 
öffentliche Stelle diese nicht teilt. Auch durch Erlass 
eines Bußgeldbescheids - sofern ein solcher rechtlich 
möglich ist - kann keine verbindliche Klärung der 
Rechtslage herbeigeführt werden, ganz abgesehen da- 
von, dass dies hierfür nicht der richtige Weg ist. Diese 
Rechtslage wirkt sich auf den Vollzug des BDSG nach- 
teilig aus. Angesichts der bekannt gewordenen Daten- 
schutzverstöße, aber auch mit Blick auf die Erfahrun- 
gen der Aufsichtsbehörden beim Gesetzesvollzug ist ei- 
ne Ausweitung der Handlungsmöglichkeiten dringend 
erforderlich. 

Dadurch würde es den Aufsichtsbehörden auch mög- 
lich, wirksam präventiv tätig zu werden und letztlich 
den Einsatz einzelner Verarbeitungen zu untersagen, 
wenn diese materiell rechtswidrig sind. 

Für die Schaffung von Anordnungsbefugnissen für die 
Aufsichtsbehörden auch in Bezug auf materiell-rechts- 
widrige Datenverarbeitungen bzw. Verstöße gegen 
datenschutzrechtliche Vorschriften spricht Artikel 28 
Absatz 3, zweiter Spiegelstrich der EG-Datenschutz- 
richtlinie, wonach die Kontrollstellen über wirksame 
Eingriffsbefugnisse verfügen müssen. Hierzu gehört 
beispielsweise die Möglichkeit, das vorläufige oder 
endgültige Verbot einer Verarbeitung anzuordnen. 

Darüber hinaus erscheint es widersprüchlich, dass die 
zuständigen Stellen, mutmaßlich die Aufsichtsbehör- 
den nach § 38 BDSG, im Zusammenhang mit ihren 
Aufgaben nach dem Datenschutzauditgesetz über An- 
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ordnungs- bzw. Untersagungsbefugnisse bezüglich 
einer rechtswidrigen Verwendung des Siegels verfügen 
sollen, den Datenschutzaufsichtsbehörden im Anwen- 
dungsbereich des BDSG jedoch eine solche Befugnis 
nicht zugestanden wird. 

19. Zu Artikel 2 Nummer 8 (§ 42a Satz 1 BDSG) 

ln Artikel 2 Nummer 8 sind in § 42a Satz 1 die Wörter 
„und drohen schwerwiegende Beeinträchtigungen für 
die Rechte oder schutzwürdigen Interessen der Betrof- 
fenen“ zu streichen. 

Begründung 

Die neu geschaffene und aus Verbraucherschutzsicht 
sehr zu begrüßende Informationspflicht bei Datenpan- 
nen ist gemäß § 42a Satz 1 Nummer 1 bis 4 BDSG-E 
auf besonders sensible personenbezogene Daten be- 
grenzt. Soweit diese personenbezogenen Daten einem 
Dritten unrechtmäßig zur Kenntnis gelangt sind, bergen 
diese - wie beispielsweise personenbezogene Daten zu 
Bankkonten - bereits ihrer Art nach eine besondere 
Missbrauchsgefahr, die eine Informationspflicht der 
verantwortlichen Stelle rechtfertigt. Eine weitergehen- 
de Einschränkung der Informationspflicht ist sachlich 
nicht geboten. 

Die Formulierung wirft auch Auslegungsschwierigkei- 
ten auf. Sie lässt offen, welche Erwägungen von der 
verantwortlichen Stelle bei der Prüfung einer Infonna- 
tionspflicht im konkreten Fall herangezogen werden 
dürfen. Soll sich beispielsweise eine verantwortliche 
Stelle bei massenhaftem Verlust von Kontonummern 
verschiedenster Personen pauschal darauf berufen dür- 
fen, eine schwerwiegende Gefahr eines materiellen 
Schadens habe nicht bestanden, weil unberechtigte Ab- 
buchungen im Lastschriftenverfahren widerrufen wer- 
den können? Ein solches Ergebnis wäre aus Verbrau- 
cherschutzsicht nicht akzeptabel, da die neu eingeführte 
Informationspflicht die Betroffenen in die Lage verset- 
zen soll, sich die erhöhte Missbrauchsgefahr zu verge- 
genwärtigen und ggf. weitere Vorsorgemaßnahmen zu 
treffen. 

Es ist zu begrüßen, dass nach der vorliegenden Fassung 
des Gesetzentwurfs ein Verstoß gegen die Informa- 
tionspflichten bei Datenpannen gemäß § 43 Absatz 1 
Nummer 7 BDSG-E als Ordnungswidrigkeit mit einem 
Bußgeld geahndet werden kann. Wegen des drohenden 
Imageverlustes bedarf es einer abschreckenden Sank- 
tionierung, wenn von den verantwortlichen Stellen ge- 
gen die Informationspflicht verstoßen wird. Damit der 
neu geschaffene Ordnungswidrigkeitstatbestand auch 
dem Bestimmtheitsgebot entspricht, muss der Gesetz- 
geber dafür Sorge tragen, dass die Voraussetzungen 
eines Verstoßes eindeutig normiert werden. Auch aus 
diesem Grund erscheint daher eine Streichung dieser 
Formulierung geboten. 

20. Zu Artikel 2 Nummer 8 (§ 42a Satz 5 BDSG) 

Der Bundesrat bittet, im weiteren Gesetzgebungsver- 
fahren zu prüfen, ob die Anforderung des § 42a Satz 5 
BDSG nach mindestens halbseitiger Veröffentlichung 
in zwei bundesweit erscheinenden Tageszeitungen ab- 


gemildert werden kann, insbesondere wenn das die Ver- 
öffentlichungspflicht auslösende Ereignis nur regionale 
Bedeutung hat. 

Begründung 

Eine Pflicht zu mindestens halbseitigen Veröffent- 
lichungen in zwei bundesweit erscheinenden Tageszei- 
tungen erscheint unverhältnismäßig, wenn das mit der 
Veröffentlichung beabsichtigte Ziel der Information der 
Betroffenen auch auf andere geeignete, aber weniger 
kostenträchtige Weise erreicht werden kann. 

21. Zu Artikel 2 Nummer 9 Buchstabe a Doppelbuch- 
stabe aa (§ 43 Absatz 1 Nummer 2b BDSG) 

In Artikel 2 Nummer 9 Buchstabe a Doppelbuchstabe 
aa § 43 Absatz 1 Nummer 2b ist nach dem Wort „Auf- 
trag“ das Wort „nicht,“ zu streichen. 

Begründung 

Entsprechend der Begründung des Gesetzentwurfs soll 
sich nach § 43 Absatz 1 Nummer 2b BDSG-E ord- 
nungswidrig verhalten, wer einen anderen mit der Erhe- 
bung, Verarbeitung oder Nutzung von Daten beauftragt, 
ohne die Vorgaben des § 1 1 Absatz 2 Satz 2 BDSG zu 
beachten (vgl. Bundesratsdrucksache 4/09, S. 53). 

Durch die bisherige Formulierung verhält sich aber 
auch derjenige ordnungswidrig, der dem Dritten über- 
haupt keinen Auftrag erteilt. In einem solchen Fall 
könnte dem Betroffenen jedoch lediglich vorgeworfen 
werden, seine Daten nicht ausreichend gesichert oder 
sie unbefugt weitergegeben zu haben. Es kann ihm je- 
doch - etwa in dem Fall einer Entwendung der Daten - 
nicht vorgeworfen werden, keinen Auftrag erteilt zu 
haben. Sofern ein Auftrag zur Datenverarbeitung nicht 
erteilt wurde, dürfte § 1 1 BDSG schon nicht einschlä- 
gig sein. 

22. Zu Artikel 2 Nummer 9 Buchstabe b 

(§ 43 Absatz 2 Nummer 1 BDSG) 

In Artikel 2 Nummer 9 Buchstabe b ist Doppelbuchsta- 
be aa folgender Doppelbuchstabe voranzustellen: 

,aa0) In Nummer 1 werden die Wörter „erhebt oder 
verarbeitet“ durch die Wörter „erhebt, verarbeitet 
oder nutzt“ ersetzt. ‘ 

Begründung 

Eine wesentliche Lücke innerhalb der Bußgeldvor- 
schriften besteht darin, dass die rechtswidrige Nutzung 
personenbezogener Daten nicht von den Tatbeständen 
des § 43 BDSG erfasst ist. 

Eine unzulässige Nutzung personenbezogener Daten 
karm in gleich schwerwiegender Weise in die Rechte 
der Betroffenen eingreifen, wie die rechtswidrige Da- 
tenerhebung oder Datenverarbeitung. Dies betrifft bei- 
spielsweise die Nutzung von personenbezogenen Da- 
ten, denen keine Erhebung vorangegangen ist, sondern 
wo diese Daten z. B. mittels einer CD „zugespielt“ wur- 
den. 

Daher sollte die derzeitige Beschränkung auf die 
rechtswidrige Datenerhebung und Datenverarbeitung 
entfallen und jedweder rechtswidrige Umgang mit per- 
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sonenbezogenen Daten als Ordnungswidrigkeit geahn- 
det werden. 

23. Zu Artikel 2 Nummer 9 (§ 43 BDSG) 

Der Bundesrat bittet, im weiteren Gesetzgebungsver- 
fahren zu prüfen, ob für Verstöße gegen § 4 Absatz 3 
Satz 1 bis X § 1 1 Absatz 2 Satz 4, § 35 Absatz 3 und 4 
BDSG und für die unbefugte Nutzung einer Telefon- 
oder Telefaxnummer oder einer E-Mail- Adresse in § 43 
BDSG Bußgeldtatbestände geschaffen werden können. 

Begründung 

Mit der Prüfbitte wird die Aufnahme einiger weiterer 
Bußgeldtatbestände in § 43 des Bundesdatenschutz- 
gesetzes angestrebt, ln der Praxis hat sich nämlich ge- 
zeigt, dass nichtöffentliche Stellen datenschutzrecht- 
lichen Vorschriften, deren Verletzung nicht bußgeld- 
bewehrt ist, wenig Beachtung schenken. Da die 
Aufsichtsbehörden derzeit keine Möglichkeit haben, 
ihre Rechtsauffassung im Wege einer verbindlichen 
Anordnung durchzusetzen, können sie nur durch die 
Androhung oder den Erlass eines Bußgeldbescheids 
Druck auf eine nichtöffentliche Stelle ausüben, das gel- 
tende Recht einzuhalten. 

Den Unterrichtungs- und Hinweispflichten des § 4 
Absatz 3 Satz 1 bis 3 BDSG wird in der Praxis häufig 
nicht oder nur unzureichend Rechnung getragen. Da § 4 
Absatz 3 BDSG eine zentrale Bestimmung ist, um dem 
informationeilen Selbstbestimmungsrecht der Betroffe- 
nen Rechnung zu tragen, müssen zumindest erhebliche, 
beharrliche oder wiederholte Zuwiderhandlungen ge- 
gen diese Vorschrift mit einem Bußgeld geahndet wer- 
den können. Da strittig ist, ob und gegebenenfalls in 
welchen Fällen ein Verstoß gegen § 4 Absatz 3 BDSG 
die Datenerhebung als solche unzulässig macht und da- 
mit als unbefugte Datenerhebung im Sinne des § 43 
Absatz 2 Nummer 1 BDSG anzusehen ist, soll hierfür 
ein eigener Bußgeldtatbestand geschaffen werden. 

Der Gesetzentwurf sieht bereits einen neuen Bußgeld- 
tatbestand für Verstöße gegen § 1 1 Absatz 2 Satz 2 
BDSG vor. Dies ist zu begrüßen. Es sollten jedoch auch 
Verstöße eines Auftraggebers gegen die in § 11 
Absatz 2 Satz 4 BDSG statuierte Pflicht, sich von der 
Einhaltung der beim Auftragnehmer getroffenen tech- 
nischen und organisatorischen Maßnahmen zu überzeu- 
gen, bußgeldrechtlich geahndet werden können. Nach 
den Feststellungen von Aufsichtsbehörden kommen 
nur wenige Auftraggeber ihrer gesetzlichen Verpflich- 
tung nach. Bei den Auftraggebern von Call-Centem 
sind solche Verstöße besonders häufig zu beobachten. 

Bislang kann gegen eine nichtöffentliche Stelle, die ei- 
ne erforderliche Sperrung personenbezogener Daten 
nach § 35 Absatz 3 oder 4 BDSG nicht vomimmt, buß- 
geldrechtlich erst vorgegangen werden, werm die Daten 
unbefugt übermittelt oder genutzt werden. Es sollte da- 
her die Möglichkeit geschaffen werden, ein Bußgeld 
schon dann zu verhängen, wenn eine nichtöffentliche 
Stelle die erforderliche Sperrung nicht vomimmt. 
Solche Fälle sind in der Praxis häufig. Mitunter werden 
umfangreiche Datenbestände entgegen den gesetzli- 
chen Bestimmungen nicht gesperrt. 


Viele Bürger wenden sich an die Aufsichtsbehörden, 
weil eine nichtöffentliche Stelle ihre Telefon- oder 
Telefaxnummer oder E-Mail- Adresse ohne die dafür er- 
forderliche Einwilligung für Zwecke der Telefon-, Tele- 
fax- oder E-Mail-Werbung genutzt hat. Stellt die Auf- 
sichtsbehörde einen Datenschutzverstoß fest, kann sie 
bislang lediglich eine Beanstandung gegenüber der 
nichtöffentlichen Stelle aussprechen, nicht jedoch ein 
Bußgeld verhängen. Dies ist insbesondere bei wieder- 
holten Verstößen einer nichtöffentlichen Stelle misslich 
und für die Beschwerdeführer unverständlich. 

Zu Artikel 2 Nummer 9 (§ 43 BDSG) 

24. Der Bundesrat bittet, im weiteren Gesetzgebungsver- 
fahren zu prüfen, ob in den Bußgeldkatalog des § 43 
BDSG eine Regelung aufgenommen werden kann, wo- 
nach ordnungswidrig handelt, wer entgegen § 9 BDSG 
unzureichende technische und organisatorische Maß- 
nahmen zur Gewährleistung der Datensicherheit trifft 
und dadurch ermöglicht, dass Unbefugte personenbezo- 
gene Daten zur Kenntnis nehmen körmen. 

Begründung 

Beim Vollzug des BDSG stellen die Aufsichtsbehörde 
immer wieder fest, dass von vielen Unternehmen Vor- 
schriften nur befolgt werden, wenn deren Nichtbeach- 
tung mit einer Sanktion verbunden ist. Insoweit ist es 
für die Aufsichtsbehörden äußerst problematisch auf 
die Einhaltung der Vorschriften des BDSG hinzuwir- 
ken, wenn nicht letztlich eine Sanktionsmöglichkeit be- 
steht. 

Die Datenschutzverstöße des Jahres 2008 belegen, dass 
mangelhafte technische und organisatorische Maßnah- 
men in den Unternehmen (mit-)ursächlich für die Miss- 
brauchsfälle waren. Beispielsweise waru. a. nicht nach- 
vollziehbar, wer auf welche Daten zugegriffen hat; 
ganze Datenbestände kormten offenbar kopiert werden. 
Dies ließe sich durch angemessene technische und/oder 
organisatorische Maßnahmen vermeiden, zumindest je- 
doch erheblich erschweren. Eine Sanktionsmöglichkeit 
würde den Druck auf die Unternehmen erhöhen, die 
zum Schutz der Rechte der Betroffenen notwendigen 
Maßnahmen zu treffen. Hierdurch würden in einigen 
Unternehmen eine deutliche Verbesserung des Daten- 
schutzniveaus erzielt und zukünftig Missbrauchsfälle 
erheblich eingedämmt werden können. 

25. Der Bundesrat bittet, im weiteren Gesetzgebungsver- 
fahren zu prüfen, ob in den Bußgeldkatalog des § 43 
BDSG eine Regelung aufgenommen werden kann, wo- 
nach ordnungswidrig handelt, wer entgegen § 28 
Absatz 3b den Abschluss eines Vertrages von einer Ein- 
willigung des Betroffenen nach Absatz 3 Satz 1 abhän- 
gig macht. 

Eine entsprechende Bußgeldregelung sollte auch im 
Telemediengesetz (TMG) erhalten sein und in das Tele- 
kommunikationsgesetz (TKG) aufgenommen werden. 

Begründung 

Das Koppelungsverbot ist bereits in § 12 Absatz 3 
TMG und § 95 Absatz 5 TKG verankert und bislang be- 
reits in § 16 Absatz 2 Nummer 2 TMG bußgeldbe- 
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wehrt. Die Bußgeldregelung im TMG soll nach dem 
Entwurf aufgehoben werden. 

Die Aufsichtsbehörden stellen indessen immer wieder 
fest, dass Vorschriften des Datenschutzgesetzes nicht 
eingehalten werden, wenn die Verstöße nicht sanktio- 
niert werden können. Der Betroffene selbst kann den 
Abschluss eines Vertrages, der entgegen § 28 Absatz 3b 
des Entwurfs von seiner Einwilligung abhängig ge- 
macht wird, nicht erzwingen. 

Zur wirksamen Durchsetzung des Koppelungsverbots 
sind Bußgeldregelungen notwendig, weil andernfalls 
ein Verstoß gegen das Verbot sanktionslos bliebe. 

26. Zu Artikel 2 Nummer 9a - neu - 

(§ 44 Absatz 2 - neu - BDSG) 

ln Artikel 2 ist nach Nummer 9 folgende Nummer ein- 
zufügen: 

,9a. § 44 Absatz 2 wird wie folgt geändert: 

a) ln Satz 1 werden nach dem Wort „verfolgt“ die 
Wörter „, es sei denn, dass die Strafverfol- 
gungsbehörde wegen des besonderen öffentli- 
chen Interesses an der Strafverfolgung ein Ein- 
schreiten von Amts wegen für geboten hält“ 
eingefügt. 

b) ln Satz 2 werden die Wörter „und die Auf- 
sichtsbehörde“ durch die Wörter „, die Auf- 
sichtsbehörde und anerkannte Verbraucherver- 
bände“ ersetzt. ‘ 

Begründung 

Zu Buchstabe a 

Straftaten nach § 44 Absatz 1 BDSG werden bislang 
nur auf Antrag verfolgt. 

Antragsberechtigt sind zum einen der Betroffene, auf 
dessen Daten sich die Straftat bezieht und zum anderen 
die verantwortliche Stelle, der Bundesbeauftragte für 
den Datenschutz und die Informationsfreiheit sowie die 
Aufsichtsbehörde. 

Die Ausgestaltung der Strafvorschrift als absolutes An- 
tragsdelikt wird dem Allgemeininteresse am Schutz 
personenbezogener Daten nicht gerecht. Der unbefugte 
Umgang mit personenbezogenen Daten, soweit er 
durch § 44 Absatz 1 BDSG in Verbindung mit § 43 
Absatz 2 BDSG unter Strafe gestellt wird, ist geeignet, 
den Rechtsfrieden über den Lebenskreis des Betroffe- 
nen hinaus zu stören. Die Strafverfolgung wird insbe- 
sondere dann ein Anliegen der Allgemeinheit sein, 
wenn die Straftat nach § 44 Absatz 1 BDSG in Verbin- 
dung mit § 43 Absatz 2 BDSG personenbezogene Da- 
ten in großen Mengen betrifft. 

Mit diesem Antrag wird die bereits in Nummer 14 der 
Stellungnahme des Bundesrates vom 19. September 
2008 zum Entwurf eines Gesetzes zur Änderung des 
Bundesdatenschutzgesetzes (Bundesratsdrucksache 
548/08 (Beschluss)) geäußerte Forderung wiederholt. 


Zu Buchstabe b 

§ 44 Absatz 2 des Bundesdatenschutzgesetzes sieht 
vor, dass eine Straftat nach dem Bundesdatenschutzge- 
setz nur auf Antrag verfolgt wird. 

Antragsberechtigt sind der Betroffene, die verantwort- 
liche Stelle, der Bundesbeauftragte für den Datenschutz 
und die Inforaiationsfreiheit und die Aufsichtsbehörde. 

Zur effektiven Wahrnehmung der Interessen der Ver- 
braucherinnen und Verbraucher ist es geboten, auch an- 
erkannten Verbraucherverbänden eine Strafantragsbe- 
fugnis einzuräumen. 

Zukünftig sollten der „Verbraucherzentrale Bundesver- 
band“ und die Verbraucherzentralen der Länder berech- 
tigt sein, einen Strafantrag zu stellen. 

27. Zu Artikel 2 Nummer 10 (§ 47 BDSG) 

In Artikel 2 Nummer 10 sind in § 47 nach dem Wort 
„erhobener“ die Wörter „oder gespeicherter“ einzufü- 
gen. 

Begründung 

Die Übergangsregelung muss auch für solche Daten 
gelten, die ohne vorherige Datenerhebung gespeichert 
worden sind. 

28. Zu Artikel 2 Nummer 10 (§ 47 BDSG) 

In Artikel 2 Nummer 10 ist in § 47 die Angabe „1 . Juli 
2012“ durch die Angabe „1. Juli 2010“ zu ersetzen. 

Begründung 

Das Bedürfnis der Wirtschaft, sich auf die neuen Daten- 
schutzbestimmungen einzustellen, ist anzuerkennen. 
Eine dreijährige Übergangsfrist erscheint aber aus Sicht 
der Verbraucher zu lang. 

Verbraucher haben ein Interesse daran, dass die Bestim- 
mungen möglichst früh in Kraft treten, damit ein Miss- 
brauch ihrer personenbezogenen Daten effektiv unter- 
bunden werden kann. Ziel muss es sein, dass die 
Verbraucher möglichst früh von den neuen Vorschriften 
profitieren können, wobei der Wirtschaft ausreichend 
Zeit gelassen werden sollte, sich auf die neuen Bestim- 
mungen einzustellen. Eine einjährige Übergangsfrist 
erscheint für die Wirtschaft ausreichend, um sich an die 
neuen Rahmenbedingungen anzupassen. 

29. Zu Artikel 3 Nummer 3 (§ 1 5a TMG) 

Zu Artikel 4 Nummer 1 (§ 93 Absatz 3 TKG) 

a) In Artikel 3 Nummer 3 ist in § 15a nach dem Wort 
„Dritten“ das Wort „unrechtmäßig“ einzufügen. 

b) In Artikel 4 Nummer 1 ist in § 93 Absatz 3 nach 
dem Wort „Dritten“ das Wort „unrechtmäßig“ ein- 
zufügen. 

Begründung 

Klarstellung des Gewollten und redaktionelle Anglei- 
chung an die in Artikel 1 Nummer 8 gewählte Formu- 
lierung des § 42a Absatz 1 Satz 1 BDSG. 
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30. Zu Artikel 4 Nummer 2 (§ 95 Absatz 5 TKG) 

Artikel 4 Nummer 2 ist wie folgt zu fassen: 

,2. ln § 95 Absatz 5 werden nach den Wörtern „wenn 
dem Teilnehmer ein anderer Zugang zu diesen Tele- 
kommunikationsdiensten“ die Wörter „ohne die 
Einwilligung“ eingefügt. ‘ 

Begründung 

Die Entwurfsfassung ist missverständlich, weil das 
Wort „Telekommunikationsdiensten“ in § 95 Absatz 5 
zweimal verwendet wird. Die Ergänzung bezieht sich 
allein auf den zweiten Halbsatz. 

Zum Gesetzentwurf allgemein 

3 1 . Der Bundesrat anerkennt die Zielsetzung des Gesetz- 
entwurfs, ein hohes Niveau beim Datenschutz im nicht- 
öffentlichen Bereich zu gewährleisten und dafür effek- 
tive Instrumente - vom freiwilligen Datenschutzaudit 
für Unternehmen bis hin zu geeigneten Kontrollverfah- 
ren - zur Verfügung zu stellen. Die Datenmissbrauchs- 
falle in der Vergangenheit haben gezeigt, dass die Be- 
fürchtungen von Verbrauchern und Medien hinsichtlich 
des rechtswidrigen Handels mit personenbezogenen 
Daten ernst zu nehmen sind. Illegaler Datenhandel 
muss deshalb mit allen zur Verfügung stehenden Mit- 
teln unterbunden werden, ebenso wie Kontrolldefizite 
hinsichtlich der Einhaltung der Datenschutzregelungen 
und gesetzliche Schutzlücken ausgeräumt werden müs- 
sen. 

32. Der Bundesrat bittet die Bundesregierung, einen Dis- 
kussionsentwurf für ein grundsätzlich überarbeitetes 
Datenschutzrecht vorzulegen, der die allgemeinen 
Regelungen im Bundesdatenschutzgesetz mit den 
bereichsspezifischen Vorschriften zusammenführt und 
systematisiert sowie das Datenschutzrecht angesichts 
neuer Formen und Techniken der Verarbeitung perso- 
nenbezogener Daten risikoadäquat fortentwickelt. 

Begründung 

Datenschutz ist Grundrechtsschutz und Funktions- 
bedingung eines demokratischen Gemeinwesens. Er ist 
notwendiger Bestandteil einer freiheitlichen Kommuni- 
kationsordnung. Teilhabe und Teilnahme an demokra- 
tischer Willensbildung und einem freien Wirtschafts- 
verkehr sind nur zu erwarten, wenn jeder Teilnehmer 
sein Handeln auf freier Willensbildung gründen kann. 
Diese ist nur möglich, wenn die Erhebung und Verwen- 
dung von Daten über ihn seiner freien Selbstbestim- 
mung unterliegt (vgl. BVerfG, Urteil vom 15. Dezem- 
ber 1983 -IBvR 209/83 u. a. -, BVerfGE 65, 1 - 
„Volkszählungsurteil“). Datenschutz ist zudem ein 
wichtiger Akzeptanzfaktor in der Informationsgesell- 
schaft. Seine rechtliche Gestaltung beeinflusst die Ent- 
wicklung einer modernen Wirtschaft. Er ist der ent- 
scheidende Vertrauensfaktor, der es ermöglicht, in der 
Informationsgesellschaft personenbezogene Daten zu 
erheben, zu verarbeiten und zu nutzen. 

Diesen Grundsätzen trägt das derzeitige Datenschutz- 
recht in Deutschland nur noch bedingt Rechnung. Es 
ist immer noch zu sehr auf das Konzept der räumlich 
abgegrenzten Datenverarbeitung fixiert, nimmt neue 


Formen personenbezogener Daten und deren Ver- 
arbeitung nur ungenügend auf und berücksichtigt 
unzureichend die Gefahren und Chancen neuer Tech- 
niken der Datenverarbeitung. Darüber hinaus ist es 
in seinen Formulierungen häufig widersprüchlich und 
durch seine Normierung in hunderten von speziel- 
len Gesetzen unübersichtlich und schwer zu handha- 
ben. 

Es gilt daher, zum einen die Konsistenz der gesetz- 
lichen Regelung und damit deren Glaubwürdigkeit 
zurückzugewinnen. Das Volkszählungsurteil verlangt 
vollzugsgeeignete Regelungen, deren effektive Kon- 
trolle sichergestellt ist. Voraussetzungen und Umfang 
der Beschränkungen des informationellen Selbstbe- 
stimmungsrechts müssen klar und für den Betroffenen 
erkennbar geregelt werden. Dies verlangt eine gezielte 
Reduktion der bereichsspezifischen Datenschutzvor- 
schriften und deren sorgfältige Abstimmung mit den 
allgemeinen Datenschutzgesetzen. Darüber hinaus 
müssen die Transparenz der Datenverarbeitung und die 
Selbstbestimmung der Betroffenen gestärkt sowie die 
Selbstregulierung und Selbstkontrolle der Datenverar- 
beiter ermöglicht und verbessert werden. 

Zum anderen zwingt die Entwicklung der Kommuni- 
kationstechnologie dazu, das Datenschutzrecht fort- 
zuentwickeln. Ein modernes Datenschutzrecht kann 
sich nicht mehr auf rein normative Vorgaben verlas- 
sen. Die Verarbeitungstechnologie muss anders als 
bisher nicht nur Regelungsgegenstand, sondern ebenso 
Regelungsmittel sein. Regelungen, die das Recht auf 
informationeile Selbstbestimmung einschränken, müs- 
sen Vorgaben für die Entwicklung und verbindliche 
Nutzung technischer Vorkehrungen enthalten, die 
einen datenschutzkonformen Ablauf des Verarbei- 
tungsprozesses sichern. Vor allem im nichtöffentlichen 
Bereich müssen zudem Konzepte des Selbstdaten- 
schutzes und des Systemdatenschutzes umgesetzt wer- 
den. 

Als Grundlage für eine Überarbeitung des Datenschutz- 
rechts können die Ergebnisse des Gutachtens „Moder- 
nisierung des Datenschutzrechts“ herangezogen wer- 
den, das Alexander Roßnagel, Andreas Pfitzmann und 
Hansjürgen Garstka 2001 im Auftrag des Bundesminis- 
teriums des Innern erstellt haben. 

Ausgehend hiervon sollte insbesondere geprüft werden, 
ob die bisherige Normenflut und Rechtszersplitterung 
verringert und Widersprüche vermieden werden kön- 
nen, indem das Vorrangverhältnis zwischen Bundes- 
datenschutzgesetz und bereichsspezifischen Regelun- 
gen umgedreht wird. Ein allgemeines Gesetz könnte an- 
stelle von offenen Abwägungsklauseln grundsätzliche 
und präzise Regelungen der Verarbeitung personenbe- 
zogener Daten festlegen. Darüber hinaus könnte das 
Gesetz allgemeine Regelungen zur Technikgestaltung, 
zur Datensicherung, zur Datenschutzorganisation, zur 
Datenschutzkontrolle und zur Selbstregulierung enthal- 
ten. Spezialregelungen in bereichspezifischen Gesetzen 
könnten sich dann auf Ausnahmen von den allgemeinen 
Regelungen beschränken und nur für bestimmte riskan- 
te Datenverarbeitungen die Anforderungen verschärfen 
oder bei unterdurchschnittlich riskanten Datenverarbei- 
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tungen Erleichterungen bieten. Zudem sollte geprüft 
werden, ob die datenschutzrechtlichen Vorschriften des 
Telekommunikations- und Multimediarechts in das 
Bundesdatenschutzgesetz integriert werden können. 
Dadurch könnten Wertungswidersprüche und Über- 
schneidungen der Anwendungsbereiche beseitigt sowie 
eine Vereinheitlichung auf hohem Niveau erreicht wer- 
den. 

33. Angesichts der jüngsten Vorfälle von Arbeitnehmer- 
überwachung bei der Deutschen Bahn AG bittet der 
Bundesrat die Bundesregierung erneut, dringend ein- 
deutige gesetzliche Regelungen zum Arbeitnehmerda- 
tenschutz vorzulegen. Diese sollen die Grenzen zuläs- 
siger Datenerhebung, -Verarbeitung und -Verwendung 
klar definieren, die innerbetriebliche Datenschutz- 
kontrolle sicherstellen und für alle Beteiligten Rechts- 
sicherheit schaffen. 

Begründung 

Der Bundesrat hatte bereits in seiner 850. Sitzung am 
7. November 2008 eine Entschließung zur gesetzlichen 
Ausgestaltung des Arbeitnehmerdatenschutzes gefasst 
und die Bundesregierung gebeten, gesetzliche Re- 
gelungen zum Arbeitnehmerdatenschutz vorzulegen 
- Bundesratsdrucksache 665/08 (Beschluss) -. Hinter- 
grund waren schon damals Fälle von Arbeitnehmer- 
überwachung, die die Würde von Arbeitnehmeriimen 
und Arbeitnehiuem erheblich missachtet und gegen das 


Recht der Betroffenen auf informationeile Selbstbe- 
stimmung verstoßen haben. 

Die jüngsten Fälle von Arbeitnehmerüberwachung, bei 
denen persönliche Daten von Arbeitnehmerinnen und 
Arbeitnehmern mit Wohnort, Telefonanschluss und 
Bankverbindung ohne deren Wissen abgeglichen wor- 
den sind, zeigen einmal mehr, dass dringend eindeutige 
gesetzliche Regelungen zur Erhebung, Verarbeitung 
und Verwendung auch und gerade von Arbeitnehmer- 
daten zwingend erforderlich sind. 

34. a) Der Bundesrat hält es für notwendig, das Bundes- 
datenschutzgesetz als Verbraucherschutzgesetz im 
Sinne des § 2 des Unterlassungsklagengesetzes 
(UKlaG) anzuerkennen. Durch eine entsprechende 
Klarstellung im UKlaG würden Verbraucherzentra- 
len und ähnliche Organisationen in die Lage versetzt 
werden, einen entsprechenden Unterlassungsan- 
spruch geltend zu machen. 

b) Der Bundesrat sieht eine Kennzeichnung der Her- 
kunft personenbezogener Daten sowie die Protokol- 
lierung ihrer Weitergabe als eine wichtige Voraus- 
setzung dafür an, Datenmissbräuche effektiv 
verfolgen zu können. Die Bundesregierung wird ge- 
beten, einen Bericht über luögliche Verfahren zur 
Kennzeichnung der Herkunft von Daten und zur 
Dokumentation der Datenweitergabe vorzulegen 
und Vorschläge zu unterbreiten, wie diese etabliert 
werden können. 
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Anlage 4 

Gegenäußerung der Bundesregierung 


Vorbemerkung der Bundesregierung 

Der Regierungsentwurf eines Gesetzes zur Regelung des 
Datenschutzaudits und zur Änderung datenschutzrechtlicher 
Vorschriften setzt die Ergebnisse des Datenschutzgespächs 
vom 4. September 2008 um. Damals hatten sich die Ge- 
sprächsteilnehmer aus Bund und Ländern auf Eckpunkte zur 
Änderung des Datenschutzrechts verständigt. Die wichtigs- 
ten Punkte waren: Abschaffung des sog. Listenprivilegs 
beim Adresshandel, Einführung eines gesetzlichen Kopp- 
lungsverbots für marktbeherrschende Unternehmen, Erwei- 
terung der Bußgeldtatbestände und des Bußgeldrahmens so- 
wie die Schaffung einer Möglichkeit zur Abschöpfung 
unrechtmäßiger Gewinne. Der Gesetzentwurf sieht des Wei- 
teren eine Informationspflicht bei Datenschutzpannen sowie 
einen verbesserten Kündigungsschutz für Beauftragte für 
den Datenschutz vor und enthält - wie ebenfalls im Ge- 
spräch vom 4. September 2008 vereinbart - einen Vorschlag 
für die Einführung eines staatlichen Datenschutzaudits. Ziel- 
vorstellung der Teilnehmer des Gesprächs vom 4. September 
2008 war, sich auf eine überschaubare Zahl, schnell umset- 
zungsfähiger Rechtsänderungen zu beschränken, um insbe- 
sondere im Bereich des Adresshandels einen effektiveren 
Datenschutz zu erreichen. Die Bundesregierung verkeimt 
nicht, dass weitere Änderungen des Datenschutzrechts in 
Betracht kommen, deren Prüfung allerdings den Rahmen 
dieses Gesetzgebungsverfahrens sprengen würde. Außer- 
dem greift der Gesetzentwurf nicht sonstige, nicht mit dem 
Adresshandel in Verbindung stehende Forderungen zur Än- 
derung oder Novellierung des Bundesdatenschutzgesetzes 
auf 

Dies vorausgeschickt, nimmt die Bundesregierung zu den 
Vorschlägen des Bundesrates wie folgt Stellung: 

Zu Nummer 1 (Artikel 1 - DSAG allgemein) 

Die Bundesregierung teilt die Auffassung des Bundesrates 
nicht. 

Um die mit dem Entwurf eines Datenschutzauditgesetzes 
verfolgten Ziele zu erreichen sind bestimmte Verfahrensvor- 
schriften und wirksame Kontrollen unumgänglich. Ein alter- 
nativer Regelungsansatz, der geringeren Aufwand erfordert, 
ist bislang nicht ersichtlich. Die Bundesregierung wird die 
praktischen Erfahrungen mit dem Datenschutzaudit unter 
Berücksichtigung der nach § 1 1 Absatz 2 des Datenschutz- 
auditgesetzes vorgesehenen Berichte sehr aufmerksam be- 
obachten. 

a) Die im Gesetzentwurf vorgesehenen privaten Kontroll- 
stellen werden sich von selbst am Markt bilden. Ihre Zu- 
lassung und Überwachung ist erforderlich, um ein quali- 
tativ hochwertiges Datenschutzaudit zu gewährleisten. 
Die Zulassung durch den Bundesbeauftragten für den 
Datenschutz und die Informationsfreiheit ist vorgesehen, 
weil die Zulassung bundesweit gelten soll. Sie erlaubt 
eine länderübergreifende Tätigkeit der privaten Kontroll- 
stellen ohne Mehrfachzulassungen. An einem Daten- 


schutzaudit interessierte, bundesweit tätige Unternehmen 
müssen sich dementsprechend nicht mit einer Vielzahl 
verschiedener Kontrollstellen auseinandersetzen. Durch 
die Tätigkeit der Kontrollstellen wird insgesamt die 
Kontrolldichte steigen, was zu einer Entlastung der Auf- 
sichtsbehörden führen karm. 

b) Aus Sicht der Bundesregierung ist nicht zu erwarten, dass 
durch das Datenschutzaudit personelle und sachliche 
Ressourcen der Datenschutzaufsichtsbehörden gebunden 
werden, die ihnen für die Erfüllung ihrer eigentlichen 
Aufgaben nicht mehr zur Verfügung stehen. 

Der Gesetzentwurf überlässt es den Ländern, die zur 
Durchführung des Datenschutzauditgesetzes zuständigen 
Behörden zu bestimmen. Dies können, müssen aber nicht 
die nach § 38 Absatz 6 des Bundesdatenschutzgesetzes 
zuständigen Aufsichtsbehörden sein. Sofern andere Be- 
hörden als zuständige Behörden für die Durchführung 
des Datenschutzaudits bestimmt werden, werden keine 
Ressourcen der Aufsichtsbehörden gebunden. Sofern die 
Aufsichtsbehörden als zuständige Behörden für die 
Durchführung des Datenschutzaudits bestimmt werden, 
tritt diese Aufgabe zu ihren bisherigen Aufgaben gleich- 
rangig hinzu. Über die finanzielle und personelle Aus- 
stattung der Aufsichtsbehörden entscheiden die Länder in 
eigener Verantwortung. 

Aus Sicht der Bundesregierung ist auch nicht zu erwar- 
ten, dass der mit der Durchführung des Datenschutzaudit- 
gesetzes verbundene Aufwand außer Verhältnis zu dem 
zu erwartenden Nutzen steht. Die Bundesregierung geht 
davon aus, dass eine Reihe von Unternehmen von 
dem Datenschutzauditsiegel werbewirksam Gebrauch 
machen, damit wettbewerbsrelevante Anreize zur Ver- 
besserung des Datenschutzes und der Datensicherheit 
setzt und das Vertrauen der Bürgerinnen und Bürger in 
einen sorgsamen Umgang mit ihren personenbezogenen 
Daten stärken wird. 

c) Die Bundesregierung hält das Verhältnis der privaten 
Kontrollstellen zur Selbstkontrolle durch betriebliche 
Datenschutzbeauftragte und zur Fremdkontrolle durch 
die Datenschutzaufsichtsbehörden nicht für unklar. Sie 
sieht auch keine nachhaltige Beeinträchtigung der Stel- 
lung der betrieblichen Datenschutzbeauftragten und der 
Datenschutzaufsichtsbehörden. 

Prüfmaßstab des Datenschutzauditgesetzes ist nicht die 
bloße Einhaltung der Vorschriften über den Datenschutz 
(Gesetzeskonformität), wie sie der Tätigkeit des Be- 
auftragten für den Datenschutz nach § 4g Absatz 1 
Satz 1 des Bundesdatenschutzgesetzes und der Auf- 
sichtsbehörden nach § 38 Absatz 1 Satz 1 des Bundes- 
datenschutzgesetzes zugrunde liegt, sondern die Einhal- 
tung darüber hinausgehender Richtlinien zur Verbesse- 
rung des Datenschutzes und der Datensicherheit. Zudem 
sind die Beauftragten für den Datenschutz nach § 3 
Satz 2 des Datenschutzauditgesetzes in die Durchfüh- 
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rang der Kontrollen einzubeziehen. Soweit die Länder 
die Aufsichtsbehörden als die zur Durchführung des 
Datenschutzauditgesetzes zuständigen Behörden bestim- 
men, ist auch ihre enge Einbindung in das Daten- 
schutzaudit gewährleistet. Die Aufsichtsbehörden stellen 
darüber hinaus mit vier Vertretern die zweitgrößte 
Gruppe im Datenschutzauditausschuss, der die Richt- 
linien und damit den Prüfmaßstab des Datenschutzaudit- 
gesetzes erlässt. 

d) Das Instrument eines Datenschutzauditausschusses trägt 
der Kritik der Länder an der zunächst geplanten Vergabe 
des Datenschutzauditsiegels bei Einhaltung der Vor- 
schriften über den Datenschutz (Gesetzeskonformität) 
Rechnung. Ein solches Datenschutzauditsiegel brächte 
verschiedene Probleme mit sich: Es brächte den Unter- 
nehmen keinen wesentlichen Wettbewerbsvorteil gegen- 
über Wettbewerbern, weil die Einhaltung der geltenden 
Gesetze von jedem Unternehmen erwartet wird. Die Ein- 
haltung der datenschutzrechtlichen Vorschriften bei den 
Unternehmen wird zudem bereits durch den Beauftragten 
für den Datenschutz und die Aufsichtsbehörden kontrol- 
liert. Ein auf die Gesetzeskonformität beschränktes 
Datenschutzauditsiegel liefe damit Gefahr, die bestehen- 
den Kontrollen zu entwerten oder zumindest eine Verfah- 
rensdoppelung herbeizuführen. Es bestünde zudem die 
Gefahr, dass die Freiwilligkeit des Auditverfahrens in 
einen faktischen Zwang umschlägt, weil aus der Tat- 
sache, dass ein Unternehmen kein Datenschutzauditsie- 
gel verwendet, u. U. der Schluss gezogen werden könnte, 
dass dieses Unternehmen die Datenschutzvorschriften 
nicht einhält. Der Datenschutzauditausschuss wurde da- 
her vorgesehen, um mit Richtlinien zur Verbesserung des 
Datenschutzes und der Datensicherheit einen Prüfmaß- 
stab für das Datenschutzauditsiegel oberhalb der Geset- 
zeskonformität zu erarbeiten. Eine Rechtsaufsicht über 
den Ausschuss ist aus Sicht der Bundesregierung gebo- 
ten, um die Erfüllung seiner gesetzlichen Aufgaben 
sicherzustellen. 

e) Aus Sicht der Bundesregierung ist die Nomenklatur des 
Datenschutzauditgesetzes nicht in sich widersprüchlich 
und wird in der Praxis auch nicht zur Verwirrung führen. 
Die vom Datenschutzauditgesetz abweichende Verwen- 
dung von Begriffen in anderen Gesetzen oder euro- 
päischen Rechtsakten ist kein Beleg dafür, dass das 
Datenschutzauditgesetz in sich widersprüchlich wäre. 
Der Begriff der Kontrollstelle wird im Datenschutzrecht 
bislang lediglich auf europäischer Ebene und in einigen 
Landesgesetzen verwendet. Der Begriff „Aufsichtsbe- 
hörde“ in § 15 Absatz 1 des Datenschutzauditgesetzes 
bezeichnet das Bundesministerium des Innern als Rechts- 
aufsichtsbehörde des Datenschutzauditausschusses. Die 
Begriffsverwendung beschränkt sich auf diese Binnen- 
beziehung. 

Zu Nummer 2 (Artikel 1 - § 4 Absatz 1 Satz 1 Nummer 4 
DSAG) 

Die Bundesregierung wird das Anliegen prüfen. 

Zu Nummer 3 (Artikel 1 - § 9 Absatz 1 Satz 1 DSAG) 

Die Bundesregierung wird das Anliegen prüfen. 


Zu Nummer 4 (Artikel 2 Nummer la - neu - § 4 Absatz 3 
Satz 1 BDSG) 

Die Bundesregierung stimmt dem Vorschlag nicht zu. 

Der Gesetzentwurf sollte sich aus den in der Vorbemerkung 
genarmten Gründen auf die vorgeschlagenen grundlegenden 
Änderungen beschränken. 

Zu Nummer 5 (Artikel 2 Nummer 2 - § 4f Absatz 2 Satz 1 
und 2 BDSG) 

Die Bundesregierung wird das Anliegen prüfen. 

Zu Nummer 6 (Artikel 2 - § 9 und Anlage zu § 9 Satz 1 
BDSG) 

Die Bundesregierung wird das Anliegen prüfen. 

Zu Nummer 7 (Artikel 2 - § 1 1 Absatz 2 Satz 2) 

Die Bundesregierung wird das Anliegen prüfen. 

Zu Nummer 8 (Artikel 2 Nummer 3a - neu - § 1 1 Absatz 2 
Satz 4 BDSG) 

Die Bundesregierung wird das Anliegen prüfen. 

Zu Nummer 9 (Artikel 2 - § 1 1 Absatz 4 BDSG) 

Die Bundesregierung wird das Anliegen prüfen. 

Zu Nummer 10 (Artikel 2 Nummer 5 Buchstabe b - § 28 
Absatz 1 Satz 1 Nummer 1 BDSG) 

Die Bundesregierung stimmt dem Vorschlag zu. 

Sie sieht hierin allerdings in der Praxis keine Verbesserung. 
Der Begriff „dienen“ in § 28 Absatz 1 Satz 1 Nummer 1 des 
Bundesdatenschutzgesetzes erlaubt auch jetzt nicht, nicht 
erforderliche personenbezogene Daten zu erheben. Die Er- 
hebung „überschießender Daten“ resultiert vielmehr aus 
der unvermeidlichen Offenheit der Begriffe „Zweckbestim- 
mung eines Vertragsverhältnisses oder vertragsähnlichen 
Vertrauensverhältnisses“. 

Zu Nummer 11 (Artikel 2 Nummer 5 Buchstabe b - § 28 
Absatz 1 Satz 1 Nummer 1 BDSG) 

Die Bundesregierung hat die erbetene Prüfung vorgenom- 
men. 

Die Mitgliedschaft in einem Verein oder Verband, einer Par- 
tei, Gewerkschaft oder einer ähnlichen Organisation beruht 
auf der Teilnahme an der Gründung bzw. einem späteren 
Beitritt zu der bestehenden Organisation. Sowohl der Grün- 
dungsvertrag als auch der Beitritts vertrag lässt sich auch als 
Schuldverhältnis qualifizieren. Die Mitgliedschaft in einem 
Verein oder Verband, einer Partei, Gewerkschaft oder einer 
ähnlichen Organisation hat also ihre Grundlage in einem 
Schuldverhältnis. Sofern eine Datenverarbeitung der Durch- 
führung dieses Schuldverhältnisses mit dem Betroffenen 
dient, ist der Anwendungsbereich des § 28 Absatz 1 Satz 1 
Nummer 1 des Bundesdatenschutzgesetzes aus Sicht der 
Bundesregierung weiter eröffnet. 
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Zu Nummer 12 (Artikel 2 Nummer 5 Buchstabe d - § 28 
Absatz 3 Satz 6 BDSG) 

Die Bundesregierung stimmt dem Vorschlag nicht zu. 

Aus Sicht der Bundesregierung bringt der Vorschlag des 
Bundesrates das Gewollte nicht klarer zum Ausdruck. 

Zu Nummer 13 (Artikel 2 Nummer 5 Buchstabe d - § 28 
Absatz 3 Satz 7 - neu - BDSG) 

Die Bundesregierung stimmt dem Vorschlag nicht zu. 

Dem Betroffenen ist schon nach geltendem Recht das Vorlie- 
gen der Einwilligung nachzuweisen. Die ausdrückliche Auf- 
nahme wäre deklaratorisch, würde aber künftig den uner- 
wünschten Umkehrschluss erlauben, dass in allen anderen 
Fällen ein Nachweis nicht zu erbringen ist. Dies würde die 
Position der Betroffenen im Ergebnis sogar verschlechtern. 

Zu Nummer 14 (Artikel 2 Nummer 5 Buchstabe e - § 28 
Absatz 3a Satz 1,2- neu - BDSG) 

Die Bundesregierung stimmt dem Vorschlag nicht zu. 

Die vom Bundesrat vorgeschlagene, zwingende Schriftform 
für die Einwilligung würde eine unangemessen weit reichen- 
de Beeinträchtigung bestehender Geschäftsmodelle der Un- 
ternehmen darstellen und zu Wertungswidersprüchen mit an- 
deren gesetzlichen Regelungen fuhren. Unternehmen sind in 
verschiedenen Konstellationen darauf angewiesen, von der 
Schriftform abzuweichen, z. B. bei vom Kunden ausgehen- 
dem telefonischem Kontakt. Hier hätte der Kunde kein Ver- 
ständnis dafür, dass seine telefonische Einwilligung nicht 
ausreichen soll und von ihm schriftlich zu erteilen ist. Ferner 
entspricht die Schriftform bei elektronischen Erklärungen 
der qualifizierten elektronischen Signatur, die mangels Ver- 
breitung gravierende Auswirkungen auf im Internet abge- 
wickelte Geschäftsmodelle hätte. 

Zu Nummer 15 (Artikel 2 Nummer 5 Buchstabe e - § 28 
Absatz 3b BDSG) 

Die Bundesregierung stimmt dem Vorschlag nicht zu. 

Ein allgemeines Kopplungsverbot könnte mangels weiterer 
Tatbestandsvoraussetzungen unter Umständen zwar leichter 
anwendbar sein, schränkt jedoch die Vertragsgestaltungsfrei- 
heit der betroffenen Unternehmen zu stark ein. Es ist nicht 
einsehbar, weshalb ein Kopplungsverbot auch dann gelten 
soll, wenn der Betroffene die Leistung ohne weiteres bei 
einem anderen Anbieter erhalten kann. 

Zu Nummer 16 (Artikel 2 Nummer 5 - §§ 28 bis 30 
BDSG) 

Die Bundesregierung wird das Anliegen prüfen. 

Zu Nummer 17 (Artikel 2 Nummer 7a - neu - § 35 
Absatz 5 BDSG) 

Die Bundesregierung wird das Anliegen prüfen. 

Zu Nummer 18 (Artikel 2 - § 38 Absatz 5 BDSG) 

Die Bundesregierung wird das Anliegen prüfen. 


Zu Nummer 19 (Artikel 2 Nummer 8 - § 42a Satz 1 
BDSG) 

Die Bundesregierung stimmt dem Vorschlag nicht zu. 

Die Evidenzschwelle ist aus Sicht der Bundesregierung ein 
notwendiges Regulativ mit Blick auf das Ziel der Vorschrift, 
die Betroffenen vor drohenden Beeinträchtigungen ihrer 
Rechte oder schutzwürdigen Interessen zu schützen sowie 
der andernfalls unter Umständen weit reichenden wirtschaft- 
lichen Konsequenzen für die verpflichteten Unternehmen. 
Die Sensibilität eines Datums ergibt sich insbesondere aus 
dem Verwendungszusammenhang. Auch wenn es sich bei 
den aufgeführten Datenarten in der Regel um sehr sensible 
Daten handelt, sind Konstellationen denkbar, in denen diese 
Daten Dritten unrechtmäßig zur Kenntnis gelangen, ohne 
dass hieraus eine schwerwiegende Beeinträchtigung für die 
Rechte oder schutzwürdigen Interessen der Betroffenen 
droht, z. B. werm die Daten verschlüsselt waren. 

Zu Nummer 20 (Artikel 2 Nummer 8 - § 42a Satz 5 
BDSG) 

Die Bundesregierung wird das Anliegen prüfen. 

Zu Nummer 21 (Artikel 2 Nummer 9 Buchstabe a 
Doppelbuchstabe aa - § 43 Absatz 1 
Nummer 2 Buchstabe b BDSG) 

Die Bundesregierung stimmt dem Vorschlag zu. 

Zu Nummer 22 (Artikel 2 Nummer 9 Buchstabe b - § 43 
Absatz 2 Nummer 1 BDSG) 

Die Bundesregierung stimmt dem Vorschlag nicht zu. 

Mit der vorgeschlagenen Änderung würden auch Verhaltens- 
weisen erfasst, die das informationeile Selbstbestimmungs- 
recht des Betroffenen nur vergleichsweise geringfügig be- 
einträchtigen und bei denen daher eine Ahndung als 
Ordnungswidrigkeit unverhältnismäßig erscheint. Die Bun- 
desregierung hat jedoch durch die in Artikel 2 Nummer 9 
Buchstabe b Doppelbuchstabe aa vorgesehenen Änderungen 
bestimmte Fälle der unbefugten Nutzung bußgeldbewehrt. 

Zu Nummer 23 (Artikel 2 Nummer 9 - § 43 BDSG) 

Die Bundesregierung wird das Anliegen prüfen. 

Zu Nummer 24 (Artikel 2 Nummer 9 - § 43 BDSG) 

Die Bundesregierung hat die erbetene Prüfung vorgenom- 
men. 

§ 9 des Bundesdatenschutzgesetzes ist nicht hinreichend be- 
stimmt, um Verstöße als Ganzes oder in Teilen als Ordnungs- 
widrigkeit gemäß § 43 des Bundesdatenschutzgesetzes zu 
ahnden. Hinzu korrrmt, dass die Aufsichtsbehörden gemäß 
§ 38 Absatz 5 des Bundesdatenschutzgesetzes im Einzelfall 
Maßnahmen zur Beseitigung technischer und organisato- 
rischer Mängel anordnen können. Der Verstoß gegen eine 
auf Grundlage des § 38 Absatz 5 Satz 1 des Bundesdaten- 
schutzgesetzes erlassene vollziehbare Anordnung ist gemäß 
§ 43 Absatz 1 Nr. 1 1 des Bundesdatenschutzgesetzes bereits 
nach geltendem Recht bußgeldbewehrt. 

Zu Nummer 25 (Artikel 2 Nummer 9 - § 43 BDSG) 

Die Bundesregierung wird das Anliegen prüfen. 
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Zu Nummer 26 (Artikel 2 Nummer 9a - neu - § 44 
Absatz 2 - neu) 

Die Bundesregierung stimmt den Vorschlägen nicht zu. 

Das Bedürfnis einer solchen Regelung ist nicht erkennbar, 
da bereits die Aufsichtsbehörden von Amts wegen ein- 
schreiten können. Diese sind gemäß § 44 Absatz 2 Satz 2 
des Bundesdatenschutzgesetzes antragsberechtigt. Im Übri- 
gen ist das Recht auf informationeile Selbstbestimmung ein 
höchstpersönliches Recht des jeweils Betroffenen. Beein- 
trächtigungen dieses höchstpersönlichen Rechts sollten des- 
halb weiterhin grundsätzlich nur auf Antrag verfolgt wer- 
den können. 

Zu Nummer 27 (Artikel 2 Nummer 10 - § 47 BDSG) 

Die Bundesregierung stimmt dem Vorschlag zu. 

Aus Sicht der Bundesregierung erfasst die derzeitige Formu- 
lierung bereits den ganz überwiegenden Teil der relevanten 
personenbezogenen Daten. Es ist jedoch nicht ausgeschlos- 
sen, dass verantwortliche Stellen daneben auch personen- 
bezogene Daten speichern, die sie nicht im Sinne des § 3 
Absatz 3 des Bundesdatenschutzgesetzes „erhoben“ haben. 
Eine Ungleichbehandlung ist insoweit nicht gewollt. 

Zu Nummer 28 (Artikel 2 Nummer 10 - § 47 BDSG) 

Die Bundesregierung stimmt dem Vorschlag nicht zu. 

Eine Verkürzung der Übergangsfrist würde es betroffenen 
Unternehmen, insbesondere kleineren und mittleren Unter- 
nehmen nicht erlauben, in einem angemessenen Zeitraum ih- 
re Geschäftsmodelle auf die neuen Anforderungen an die Er- 
hebung personenbezogener Daten umzustellen oder die 
erforderliche Anzahl von Einwilligungen einzuholen. Ver- 
schiedene Fonnen der Datenverarbeitung und -nutzung, 
z. B. volladressierte Werbesendungen in Gestalt von Jahres- 
katalogen für das Jahr 2010, werden bereits im Herbst 2009 
vorbereitet und gedruckt, so dass die Übergangsfrist in der 
Praxis weiter verkürzt würde. 

Zu Nummer 29 (Artikel 3 Nummer 3 - § 15a TMG und 

Artikel 4 Nummer 1 - § 93 Absatz 3 TKG) 

Die Bundesregierung stimmt dem Vorschlag zu. 

Zu Nummer 30 (Artikel 4 Nummer 2 - § 95 Absatz 5 
TKG) 

Die Bundesregierung stimmt dem Vorschlag zu. 

Zum Gesetzentwurf allgemein 
Zu Nummer 31 

Die Bundesregierung schließt sich den Aussagen und Be- 
wertungen des Bundesrates in Nummer 37 an. 

Zu Nummer 32 

Die Bundesregierung stimmt der Bitte des Bundesrates nicht 
zu. 

Eine Zusammenführung und Systematisierung der Regelun- 
gen im Bundesdatenschutzgesetz mit den bereichsspezi- 
fischen Vorschriften begegnet Bedenken im Hinblick auf das 
verfassungsrechtliche Gebot der bereichsspezifischen Rege- 
lung der Verwendungszwecke und würde zudem zu einer 


deutlichen Ausweitung und Verkomplizierung des Bundes- 
datenschutzgesetzes führen, ohne dass hiermit notwendiger- 
weise mehr Transparenz oder Widerspruchsfreiheit erreicht 
würde. Zudem wäre dies aufgrund der Vielzahl und Unter- 
schiedlichkeit der betroffenen Regelungen mit einem erheb- 
lichen und zeitaufwändigen Abstimmungsbedarf mit allen 
Ressorts verbunden. 

Die Bundesregierung beobachtet die Fortentwicklung der 
Technik, insbesondere der Datenverarbeitung, und ihre 
Auswirkungen auf das Recht auf informationelle Selbst- 
bestimmung fortlaufend. Sie hat z. B. am 23. Januar 2008 
einen Bericht zu den Aktivitäten, Planungen und zu einem 
gesetzgeberischen Handlungsbedarf in Bezug auf die daten- 
schutzrechtlichen Auswirkungen der RFID-Technologie 
(Bundestagsdrucksache 16/7891) vorgelegt. Soweit die Bun- 
desregierung einen gesetzgeberischen Handlungsbedarf 
sieht, wird sie entsprechende Vorschläge zur Änderung der 
gesetzlichen Grundlagen vorlegen. 

Zu Nummer 33 

Die Bundesregierung wird das Anliegen des Bundesrates 
aufgreifen. Sie schlägt in einem ersten Schritt eine ergän- 
zende Regelung vor, die den Datenschutz der Arbeitneh- 
mer in allgemeiner Form im Bundesdatenschutzgesetz ver- 
ankert. 

Hierzu wird die Bundesregierung für die anstehenden Aus- 
schussberatungen einen Vorschlag vorlegen, der allerdings 
noch keine abschließende Regelung des Arbeitnehmerdaten- 
schutzes darstellen wird. 

Parallel zu den Ausschussberatungen wird eine Arbeits- 
gruppe den Handlungsbedarf im Bereich des Arbeitnehmer- 
datenschutzes prüfen und die Arbeiten zu einem Arbeitneh- 
merdatenschutzgesetz fortführen. Angesichts der Koiuplexi- 
tät eines solchen Vorhabens geht die Bundesregierung aber 
davon aus, dass die Arbeiten erst in der nächsten Legislatur- 
periode zum Abschluss gebracht werden können. 

Zu Nummer 34 

Zu Buchstabe a 

Das Anliegen des Bundesrates wäre mit erheblichem Prü- 
fungsbedarf verbunden. Diese Prüfung würde voraussicht- 
lich längere Zeit in Anspruch nehmen und sollte das Gesetz- 
gebungsverfahren nicht verzögern. 

Zu Buchstabe b 

Die Bundesregierung lehnt die Bitte des Bundesrates ab, 
einen Bericht über mögliche Verfahren zur Kennzeichnung 
der Herkunft von Daten und zur Dokumentation der Daten- 
weitergabe vorzulegen und Vorschläge zu unterbreiten, wie 
diese etabliert werden können. Aufgrund der in dem Gesetz- 
entwurf vorgesehenen Neugestaltung des „Listenprivilegs“ 
hin zu einer grundsätzlichen Einwilligungslösung, ist eine 
gesetzliche Pflicht zur Herkunftskennzeichnung nicht erfor- 
derlich. Da die Zulässigkeit der Datenverarbeitung künftig 
auf der Einwilligung der Betroffenen beruht, ist diese von 
den verantwortlichen Stellen gegenüber ihren Vertragspart- 
nern, aber auch bei aufsichtsbehördlichen Kontrollen oder 
gegenüber dem Betroffenen nachzuweisen. Eine Protokol- 
lierung der Weitergabe von Daten ergibt sich bereits aus dem 
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geltenden Recht. Nach Satz 2 Nummer 5 der Anlage zu § 9 
Satz 1 des Bundesdatenschutzgesetzes sind Maßnahmen zu 
treffen, die je nach Art der zu schützenden personenbezoge- 
nen Daten oder Datenkategorien geeignet sind, zu gewähr- 
leisten, dass überprüft und festgestellt werden kann, an 
welche Stellen eine Übermittlung personenbezogener Daten 
vorgesehen ist (Weitergabekontrolle). 
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